exchange email attacks 08

El ataque perfecto: transformar un antivirus en malware (y cómo hacerlo)

Los ciber ataques tienen el encanto de la inteligencia y la creatividad aplicadas al conocimiento. Perdone mi simpatía la lectora, pero no puedo dejar de aplaudir un buen gol aunque la pelota esté cruzando mi meta. Estos ataques no son hackeos, el hackeo es lo que da por resultado un ataque, el hackeo termina en el punto en que comienza el ataque, porque eso que estás atacando ya fue tirado abajo en el momento en que un hackeo terminó de ser planeado, el desafío está superado, basta cortar la cinta inaugural. El de hoy es un hackeo de esos.

Durante enero de 2017 una ex ingeniera de Mozilla lanzó una serie de ataques hacia un antivirus. Poco después de eso se sumaron otras voces, como una ingeniera de Chrome, que adoptó la misma posición. Las ingenieras sostienen que todos los antivirus arrojaron puertas traseras tras una serie de auditorías. Estos accesos abren las posibilidades a nuevos vectores de ataque y al mismo tiempo no siguen las prácticas estandarizadas de seguridad. En ese contexto se ha descubierto que puede convertirse un antivirus en un malware. Es el ataque perfecto.

El experimento fue realizado por la gente de Cybellum que lanzó DoubleAgent, un ataque que depende de una herramienta oficial de Microsoft, que viene instalada en cada versión de Windows desde el lanzamiento de XP. ¡Imaginate los alcances de este bug!

El objetivo principal es que el antivirus proteja a las usuarias y sus computadoras. Sin embargo, las posibilidades de ataque se multiplicaron y en un intento de cubrir todos los flancos flacos las desarrolladoras implementaron técnicas que no son consideradas como seguras por las especialistas. El golpe ha sido tan duro, que actualmente se discute si instalar un antivirus tiene algún tipo de utilidad. Imaginate que te comprás una escopeta que puede decidir matarte, seguramente no tendrías una así en tu casa, aunque eventualmente pueda resultarte de alguna utilidad.

Los antivirus son considerados como elementos de confianza de un sistema operativo, si se compromete su integridad el desastre es descomunal. En más de una ocasión bugs en la base de datos de un antivirus declararon funciones vitales de los sistemas como amenazas, lo que hace que se te caiga todo el sistema. Por lo que, ponele, si hay un antivirus instalado en una máquina que no querés que funcione, bastaría con un ataque man in the middle (por decir alguna barrabasada porque hay alternativas más sencillas) como para tirarla abajo. Es tu marcapasos atacando tu corazón.

Lo que sigue en la lista es el control total: apropiarnos de un antivirus y utilizarlo para lo que se nos cante. Mirá el ataque en ejecución.

[youtube width=”602″ height=”350″ video_id=”-ZL9WSuDAqk”]

DoubleAgent es el ataque publicado por Cybellum, puede ser ejecutado en cualquier versión de Windows partiendo de XP sobre un importante número de antivirus. La herramienta utilizada para esto recibe el nombre de Microsoft Application Verifier, que permite cierto margen de personalización en las verificaciones. Este resquicio es aprovechado por DoubleAgent para inyectar código sin que sea detectado ni bloqueado por el antivirus. Hay una frutilla en este postre: la técnica es permanente, lo que significa que los efectos seguirán en la computadora luego de reiniciar el equipo.

Desde Cybellum confirman que este ataque necesita de privilegios elevados para ejecutarse, algo que se obtiene de formas muy sencillas. Las hackers especialistas en seguridad no se quedaron de brazos cruzados y publicaron parches para evitar que alguien explote nuestras vulnerabilidades. Curiosamente, un antivirus que ha pasado las pruebas es Windows Defender, que posee una técnica de mitigación llamada ‘Procesos Protegidos’ que lo hace inmune a los ataques, aunque no fue el único antivirus en superar la prueba.

Por lo pronto, la mejor forma de ganar seguridad, privacidad y deja de financiar un mundo peor es borrando Windows e instalando un sistema que sí sea operativo.

¡Happy Hacking!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *