Detectan brechas en productos de seguridad McAfee, Symantec y Panda, entre muchos otros

12 May 2010 en Seguridad

Los productos de seguridad de 35 de los principales proveedores globales pueden ser comprometidos utilizando un tipo de ataque denominado argument-switch. Este ataque permitiría que un ilimitado código malicioso se infiltre en máquinas basadas en Windows.
Este ataque, también conocido como KHOBE (Kernel Hook Bypassing Engine), es especialmente efectivo en hooks user mode y kernel mode. Estos hooks son modificaciones directas del código realizadas por los programadores que realizan aplicaciones de seguridad.
El motor KHOBE de prueba de Matousec no tuvo problemas para infiltra a 35 de las aplicaciones más conocidas de seguridad. Lo hizo utilizando una técnica llamada hooking SSDT (System Service Descriptor Table). Entre esas aplicaciones están las de McAfee, Symantec, Sophos, Panda Security y BitDefender.
Los investigadores de Matousec resumen sus hallazgos en una descripción breve: Si un producto utiliza hooks SSDT u otra clase de hooks en modo kernel en un nivel similar para implementar dispositivos de seguridad, es un producto vulnerable. En otras palabras, el 100% de los productos testeados es vulnerable. No tenemos más productos en esta lista por razones de tiempo; de otra manera, la lista sería interminable.
La gente de Matousec aclara que realizar este ataque no es simple. El atacante necesita tener acceso local a la red o usar la técnica argument-switch en combinación con otro vector de ataque.
A pesar de los grandes esfuerzos de los desarrolladores de antivirus y software de seguridad, los atacantes siguen infiltrándose en las máquinas de miles de usuarios.
Gartner predice que el mercado de software de seguridad tendrá un volumen de U$S 16.300 millones de dólares este año. Los proveedores deberán esforzarse por mantenerse a la par de campañas de malware cada vez más sofisticadas y dirigidas a conseguir datos, efectivo y capital intelectual.
Norton Internet Security 2010 es uno de los productos comprometidos. Voceros de Symantec observaron que su nueva línea de aplicaciones de seguridad basada en cloud, eliminan la exposición a este tipo de ataque. Eso se debe a que los sistemas de detección de  Symantec Hosted Services se realiza a través de servidores no susceptibles a esta clase de ataques.
Pero por ahora, la mayoría de las empresas utiliza soluciones instaladas en sus propios servidores para proteger sus laptops y PCs. Los entornos basados en Windows serían los más preocupantes. “Probamos a las aplicaciones de seguridad más utilizadas y todas ellas son vulnerables. Las soluciones más populares de la actualidad, simplemente no funcionan,” concluyen los analistas de Matousec.