Los antivirus podrían estar traicionándolo, ¡Preste atención!

Roger Gutierrez

Los antivirus no son la barrera que usted piensa. Los expertos recalcan que los atacantes encuentran y explotan fácilmente las vulnerabilidades de estos productos y se aprovechan de su confianza en estas soluciones para secuestrar cuanto dato encuentren en su camino.

IDG

Imagínese recibir una llamada del departamento de TI de su empresa que le dice que su estación de trabajo se ha visto comprometida y debe dejar de hacer lo que está haciendo inmediatamente. Su reacción es quedarse perplejo porque no tiene idea de lo que está sucediendo, porque usted fue a la capacitación en seguridad de la compañía y está seguro de que no abrió los archivos adjuntos sospechosos del correo electrónico o hizo clic en algún enlace falso. Usted sabe que su empresa tiene una política solida de parches y el software en su equipo está al día; además usted no es el tipo de empleado que visita sitios web no relacionados con el trabajo mientras está en la oficina. ¿Entonces, cómo pasó esto?

Unos días más tarde, una respuesta de su empresa le indica que los hackers consiguieron realizar sus fechorías explotando una falla en el programa corporativo de antivirus instalado en el equipo, mismo programa que se supone protege los ordenadores de los ataques y todo lo que hicieron los atacantes fue enviarle un mensaje de correo electrónico que usted ni siquiera abrió.

Este escenario puede sonar exagerado, pero no lo es. Según los investigadores de vulnerabilidades que han analizado en el pasado los programas antivirus, este tipo de ataques son bastante probables y ya se han producido. Algunos de ellos han tratado de dar la voz de alarma sobre la facilidad de encontrar y explotar los defectos críticos en los productos endpoint de antivirus por años.

Además puede leer: Los sith detrás del código malicioso

Desde junio, los investigadores han encontrado y reportado varias docenas de fallas serias en los productos antivirus.

Muchas de esas vulnerabilidades habrían permitido a los atacantes ejecutar remotamente código malicioso en las computadoras, abusar de la funcionalidad de los mismos productos antivirus, para obtener mayores privilegios en sistemas comprometidos e incluso para derrotar las defensas anti-explotación de las aplicaciones de terceros.

La explotación de algunas de esas vulnerabilidades no requiere ninguna interacción del usuario y podría haber permitido la creación de gusanos informáticos, programas de malware autopropagantes. En muchos casos, los atacantes solo habrían necesitado enviar mensajes de correo electrónico especialmente diseñados para las víctimas potenciales, para inyectar código malicioso en sitios web legítimos visitados por ellos o para conectar unidades USB con archivos con formato incorrecto en sus computadoras.

Ataques en el horizonte

La evidencia sugiere que los ataques contra los productos antivirus, especialmente en entornos corporativos, son posibles y probables. Algunos investigadores creen que ya se han producido este tipo de ataques, a pesar de que los vendedores de antivirus pueden no ser conscientes de ellos a causa del muy pequeño número de víctimas.

Un grupo de espionaje cibernético conocido como Careto o La máscara, es conocido por haber tratado de explotar una vulnerabilidad en las versiones anteriores de los productos antivirus con el fin de evadir la detección. El grupo de computadoras comprometidas pertenece a cientos de organizaciones gubernamentales y privadas de más de 30 países antes de que sus actividades fueran expuestas en febrero de 2014.

Si bien estos son principalmente ejemplos del uso de las vulnerabilidades de antivirus para evadir la detección, también hay una demanda por la ejecución remota de código que afecta a los productos antivirus y éstos están siendo vendidos por los agentes especializados en el mercado no regulado de exploits.

Entre los correos electrónicos filtrados el año pasado por la firma Italiana The Hacking Team, existe un documento que enumera varios escaladas de privilegios, divulgación de información y detección sin pasar por las hazañas de varios productos antivirus y también una ejecución remota de código exploit.

Esto ha estado sucediendo desde hace más de una década, de acuerdo con Gunter Ollmann, director de en Vectra y director de tecnología de la firma de investigación de seguridad IOActive.

Según Ollmann, una vulnerabilidad explotable remotamente en el producto antivirus chino Qihoo 360, es un valor de varios cientos de miles de dólares para las agencias de inteligencia de los EE.UU. y Europa.

Conozca: ¿Cómo ejecutar un exploit en Meterpreter?

“Desde una perspectiva de estado-actor, no sería de interés ser detectado haciendo este tipo de cosas, es por eso que los objetivos son pequeños y cuidadosamente controlados”, dijo Ollmann.

Explotar productos de antivirus es demasiado fácil

Los productos antivirus son creados por los seres humanos y los seres humanos cometen errores. Es razonable esperar que estos programas estén completamente libres de errores, pero es justo esperar que tengan un menor número de defectos que otros tipos de software.

También es razonable esperar que las empresas que forman parte de la industria de la seguridad sigan las directrices de programación seguras para implementar las defensas anti-explotación comunes en sus productos y para realizar auditorías de código frecuente y las pruebas de vulnerabilidad.

Por desgracia, estas cosas parecen ser raras en el mundo del antivirus.

Los programas antivirus necesitan ser capaces de inspeccionar una gran cantidad de datos y tipos de archivos desde una variedad de fuentes: la Web, correo electrónico, el sistema de archivos local, recursos compartidos de red, dispositivos de almacenamiento conectados USB, etc. También tienen un gran número de componentes que aplican varias capas de protección: los conductores para interceptar el tráfico de red, plug-ins que se integran con los navegadores y clientes de correo electrónico, interfaces gráficas de usuario, antivirus con los subsistemas que realizan, escaneo basado en firmas basada en el comportamiento y en la nube y más.

Esto es lo que los investigadores de seguridad llaman una superficie de ataque muy grande, es decir, hay una gran cantidad de código potencialmente vulnerable que los atacantes pueden alcanzar en una variedad de maneras. Por otra parte, cuando se trata de productos antivirus, gran parte de este código se ejecuta con el mayor privilegio posible, algo que los investigadores argumentan se debe evitar.

La investigación muestra que los productos antivirus ofrecen “una superficie de ataque de fácil acceso que aumenta drásticamente la exposición a ataques dirigidos”, dijo el investigador de seguridad de Google, Tavis Ormandy en un blog en septiembre, en el que se analizó una de las muchas vulnerabilidades antivirus que encontró en los últimos meses.

“Por esta razón, los vendedores de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguros para minimizar la posibilidad de daños causados ​​por su software”, finalizó Ormandy.

Desde junio, Ormandy ha encontrado y reportado más de 25 vulnerabilidades en productos antivirus. En el pasado también encontró fallas en los productos de Sophos y Microsoft.

Muchos de los defectos encontrados por Ormandy provenía de archivo y de análisis de datos de operaciones, que han sido históricamente una fuente de vulnerabilidades en todo tipo de aplicaciones.

Ormandy no es el primero en hacer sonar la alarma por la falta de medidas de mitigación de seguridad como sandboxing en los productos antivirus y el hecho de que muchos de sus componentes se ejecutan con privilegios de sistema.

En 2014, un investigador de seguridad llamado Joxean Koret encontró defectos de forma remota y local explotables en 14 productos antivirus y sus motores. Él hizo en gran parte las mismas observaciones que Ormandy.

Según Koret, por lo menos, la industria antivirus necesita adoptar técnicas como la separación de privilegios y la caja de arena, pero más es necesaria para los productos antivirus realmente seguras.

Muchos de estos programas son vulnerables a ataques man-in-the-middle porque no utilizan SSL / TLS para la comunicación y los componentes que descargan a menudo no están firmados. Ellos no implementan ninguna de las medidas contra la explotación que los navegadores modernos tienen y que no utilizan la emulación para analizar los archivos ejecutables o utilizar lenguajes de memoria seguro, dijo por correo electrónico.

Peor aún, la evidencia sugiere que muchos productos antivirus no son ni siquiera adecuadamente auditados por fallas de seguridad, dijo Koret.

“Por ejemplo, mirando a las vulnerabilidades descubiertas por Tavis Ormandy, es absolutamente claro que nunca auditan el software en absoluto, porque tales vulnerabilidades podrían ser detectadas por el auditor durante la primera evaluación, probablemente, de una semana”, agregó.

Este artículo está clasificado como: , , , , , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR