Nuevo ataque esquiva todos los productos en seguridad de Windows.

¿Eres un usuario de Windows? ¿Está seguro que su antivirus se actualiza regularmente? ¿Se siente seguro?
No debería! Lea a continuación el porqué...


khobe-headlines.jpg


Investigadores en seguridad del sitio Matousec.com tienen un ingenioso ataque que puede esquivar cada producto probado para la seguridad de Windows y permite que código malicioso encuentre vía libre hacia el sistema.​

Si, lo que leemos es cierto: Todos los productos probados de seguridad en Windows. La lista de los productos es inmensa:

* 3D EQSecure Professional Edition 4.2
* avast! Internet Security 5.0.462
* AVG Internet Security 9.0.791
* Avira Premium Security Suite 10.0.0.536
* BitDefender Total Security 2010 13.0.20.347
* Blink Professional 4.6.1
* CA Internet Security Suite Plus 2010 6.0.0.272
* Comodo Internet Security Free 4.0.138377.779
* DefenseWall Personal Firewall 3.00
* Dr.Web Security Space Pro 6.0.0.03100
* ESET Smart Security 4.2.35.3
* F-Secure Internet Security 2010 10.00 build 246
* G DATA TotalCare 2010
* Kaspersky Internet Security 2010 9.0.0.736
* KingSoft Personal Firewall 9 Plus 2009.05.07.70
* Malware Defender 2.6.0
* McAfee Total Protection 2010 10.0.580
* Norman Security Suite PRO 8.0
* Norton Internet Security 2010 17.5.0.127
* Online Armor Premium 4.0.0.35
* Online Solutions Security Suite 1.5.14905.0
* Outpost Security Suite Pro 6.7.3.3063.452.0726
* Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
* Panda Internet Security 2010 15.01.00
* PC Tools Firewall Plus 6.0.0.88
* PrivateFirewall 7.0.20.37
* Security Shield 2010 13.0.16.313
* Sophos Endpoint Security and Control 9.0.5
* ThreatFire 4.7.0.17
* Trend Micro Internet Security Pro 2010 17.50.1647.0000
* Vba32 Personal 3.12.12.4
* VIPRE Antivirus Premium 4.0.3272
* VirusBuster Internet Security Suite 3.2
* Webroot Internet Security Essentials 6.1.0.145
* ZoneAlarm Extreme Security 9.1.507.000
* Probablemente otras versiones de todos el software mencionados.
* Posiblemente muchos más software que se adhieren al Kernel para poner en práctica rásgos de seguridad.

El ataque tiene un ingenioso movimiento estilo "cebo e interuptor" (bait-and-switch). Un código inofensivo pasa al software de seguridad para el escaneo, pero en cuanto se le dé luz verde, éste cambia a código malicioso. El ataque funciona más confiablemente en sistemas Multi-Core por que un hilo en ejecución no vigila a otros hilos que están corriendo simultáneamente, haciendo el cambio de código más fácil.

El ataque, llamado KHOBE (Kernel HOok Bypassing Engine - o Motor que evita la adherencia al Kernel) engancha un modulo de Windows llamado System Service Descriptor Table (Servicio del Sistema Descriptor de Tablas) o el SSDT, el cual se engancha o adhiere al Kernel de Windows. Desafortunadamente, SSDT es utilizado por el software antivirus.

NOTA: Lo que se ha hablado del SSDT se conoce desde mucho tiempo
pero aún no había sido explotado por los atacantes. Sin embargo,
como en los sistemas multi-núcleo son mas confiables y éstos sistemas
se éstan volviendo en estándares, esto es un tema demasiado delicado.

Cuidado!!! No piense que solo por que está como un usuario estándar o invitado
esta a salvo. No lo estas!
Este ataque no requiere de derechos de administrador.


Sin embargo, requiere de mucho código para trabajar, asi que es muy lejos del ideal de los atacantes.

Algunas casas de antivirus como F-Secure y Sophos han manifestado que la gente de Matouse.com describen una forma de "hacer algo extra" si el código malicioso logra pasar el software antivirus.

F-secure está convencido que, el tema es serio, sin embargo, la mayoría del código malware es detectado y bloqueado. No se está haciendo un gran esfuerzo por que es algo que aún no está sobre la escala de Richter


Usuarios de Linux y Mac, sientasen libres de entrar en "modo de satisfacción" solo por un ratito...

Fuente: ZDNET.com
Enlace: http://www.zdnet.com/blog/hardware/update-new-attack-bypasses-every-windows-security-product/8268
Traducido
 
Ya habia leido esto en otras revistas, y mas que todo del por que no le dan el grado de alta peligrosidad, es por que para poder meter el codigo que hace este cambio de codigo, debe meterse por medio de otro exploit que ingrese ese codigo a la maquina.

Eso es segun lo dicen mc afee y symantec, por lo que mas que todo, esta infecccion podria darce es con ataques de hora cero de codigos maliciosos que no sean detectados por los antivirus e incluyan el codigo de este tipo de ataques.
 
Si, esto viene desde hace unas pocas semanas atrás. La mayoría de los consultores IT afirman que no se le da la importancia que debería, solo por que se ha comprobado que el ataque es mas éxitoso en Windows XP y no en las nuevas versiones Vista y 7.

Pero lo que no han tenido en cuenta, es que Windows XP tiene aún una fuerte cuota del 60% del total de sistemas operativos activos en el mundo.

Debería preocupar...
 
Estare interpretando mal? Dice que funciona más confiablemente en sistemas multi-core. Osea sería más seguro tener un equipo con procesador de mononucleo? :S
 
siempre he dicho que si no quiere coger viruses, no se meta a internet...y lo seguire diciendo!
 
siempre he dicho que si no quiere coger viruses, no se meta a internet...y lo seguire diciendo!

Sep, eso es 100% cierto, y si no quiere que se le dañe la PC, no la prenda tampoco, así le va a durar más.

Pues, todos sabemos que WXP es el colador informático por excelencia y por tal motivo ya no es seguro usar eso, desde que pasé a W7 ni por un segundo he dudado que fue una buena decisión, además, al parecer este ataque no es tan efectivo en W7
 
Estare interpretando mal? Dice que funciona más confiablemente en sistemas multi-core. Osea sería más seguro tener un equipo con procesador de mononucleo? :S

Y yo pensando que con mi Core i5 estaba a salvo, me va tocar volver a Pentium III :S

jajaja es sarcasmo xDDD :p

Hablando en serio, que sepa los últimos procesadores manejan algo llamado "Bit de desactivación de datos", una heurística implantada en el código del procesador para identificar anomalías y detenerlas (desde el hardware), el único proce que tiene esto y no tiene doble nucleo ni 4 ni 6 ni nada es el Pentium IV HT, ¿dónde está esta tecnología ahora?, ¿no sirve de nada?.
 
Hablando en serio, que sepa los últimos procesadores manejan algo llamado "Bit de desactivación de datos", una heurística implantada en el código del procesador para identificar anomalías y detenerlas (desde el hardware), el único proce que tiene esto y no tiene doble nucleo ni 4 ni 6 ni nada es el Pentium IV HT, ¿dónde está esta tecnología ahora?, ¿no sirve de nada?.

Todos los Pentium 4 HT son mononucleo pero puede manejar 2 hilos simultaneamente por aquello del HyperThreading lo que supuestamente lo haría igual de vulnerable que un multi-core

offtopic
Desde AMD desde el socket 754 soporta el NX-Bit en TODOS sus procesadores incluidos Semprones y hasta los AthlonXP de socket 754 soportan esa tecnología; que por lo que parece no es que haga mucho :\
 
Es que el problema no es el CPU, es con el kernel y la distribucion de proceso :S. Lo que dice que los multinucleos son mas propensos es porque al darle un prosoce a un core y asignar otro proceso al otro core (por ejemplo) en el tiempo que pasa de uno para otro core (supongo) cambia a codigo malicioso, al no tener la atencion directa como unico core :S.

Pero esto no debe ser tan facil, ademas supongo que con un patch MS podria corregir dicho bug...

SuerteX :)
 
todo depende del cuidadao del usuario si sabes donde y como navegar y como y que descargas estaran mas seguro........
 

Los últimos temas