El Software Antivirus de Windows No Detecta el Ataque “Cambio de Status”

Se ha descubierto una nueva táctica de ataque que no detectan muchas de las aplicaciones antivirus que se ejecutan en Windows.

Investigadores del Matousec.com han encontrado la manera en que los hackers podrían aprovechar la mayoría del software de seguridad de Windows a través de los ganchos kernel del disco. El software de seguridad, por ejemplo las aplicaciones antivirus, utiliza los ganchos kernel del disco para redireccionar las llamadas del sistema de Windows
a través de su software buscando códigos que podrían ser malignos antes de que se ejecuten. Este proceso, que podría eludir software de seguridad, cambia el código de seguridad (el software de seguridad da el visto bueno para ejecución) por el código maligno.

Matousec publicó en un documento en su página web los detalles del ataque "cambio de status". Al parecer, varias aplicaciones de seguridad del escritorio de Windows como las de McAfee, BitDefender, Sophos e incluso Symantec, podría ser explotadas utilizando la táctica de "cambio de status". Imagine que el software de seguridad es el FBI, y que busca un terrorista con gorra de béisbol en un partido de béisbol. El FBI podría mirar al terrorista en la cara y no saberlo.

Algunos expertos y proveedores de software de seguridad han menospreciado la amenaza del ataque "cambio de status". Dudan en sostener que el ataque plantee una amenaza seria ya que consideran que es muy complicado y poco probable en el mundo real o durante un ataque generalizado. En pocas palabras, no creen que el ataque eluda el software de seguridad ni que permita que el malware se ejecute por su cuenta. Supuestamente, las condiciones tendría que ser ideales, y el problema sólo está vinculado a determinadas características de los productos de seguridad.

Por otro lado, un tal ataque, de cambio de status, sería muy difícil de detener. Le daría a los hackers la superioridad en eludir la seguridad basada en disco proporcionada por muchas aplicaciones AV. Alfred Huger, vicepresidente de ingeniería en Immunet (una empresa de antivirus en Palo Alto, California) dijo: "Si alguien presenta esto en un paquete de biblioteca fácil de usar, estaría en juego rapidísimo, con la opción de generalizarse."

Aunque los investigadores han concluido que el software antivirus no está totalmente indefenso contra este tipo de ataque, ¿será esto una nueva pandemia de ataques pirata? ¿resolverán los fabricantes de antivirus el problema o habrá daños antes de que alguna compañía de antivirus proponga un parche?