Ilussion Gap burla la protección Windows Defender
CyberArk Lab, empresa de ciberseguridad y análisis de ciberataques, publica en su blog una noticia sobre una nueva amenaza de seguridad, pues el Ilussion Gap burla la protección Windows Defender.
CyberArk Labs a estudiado una serie de escenarios donde es posible burlar el análisis de Windows Defender, aprovechando varios «fallos» en los protocolos de transferencia de archivos, si se quiere consultar la nota en su blog en ingles está disponible aquí
¿Cómo funciona Illusion Gap?
En forma resumida, el problema radica en cómo funciona el sistema de archivos, cuando un usuario hace doble click sobre un archivo, se le solicita al servidor SMB dos copias del archivo, una copia local para que se pueda ejecutar el archivo, y la otra va destinada para el firewall o cortafuegos Windows Defender que usara para analizar el archivo contra código malicioso.
Sin embargo, el protocolo que usa el servidor SMB no está diseñado para poder «diferenciar» estas dos peticiones, y aquí es donde se puede explotar la vulnerabilidad, al poder enviar dos archivos diferentes, uno «limpio» a Windows Defender, y otro con nuestro «código malicioso» para ser ejecutado.
De tal forma, Windows Defender no puede informar de ningún contenido malicioso al recibir y analizar un archivo diferente del que se ejecuta.
¿Estamos en peligro?
En realidad este tipo de ataque, por su complejidad, requiere que el servidor SMB (servidor para compartir archivos) haya sido vulnerado previamente y re-programado para enviar dos archivos diferentes a las peticiones del sistema cliente (nuestro equipo), que coloquemos ambas copias de este archivo en el servidor y que el usuario se conecte al servidor y lo solicite.
Así que, si bien es teóricamente posible ponerlo en práctica, requiere de muchas condiciones muy especiales para poder ser reproducido, por lo que en un uso normal del día a día deberíamos estar seguros.
Conclusiones
Como siempre, y hasta el cansancio repetiré en esta serie de seguridad, no podemos confiar en un solo factor o programa, la ciberseguridad es un conjunto de herramientas y buenas prácticas que nos ayudan a permanecer seguros.
En el caso de este ataque particular, si bien, el firewall o cortafuegos Windows Defender puede ser burlado en primera instancia, un segundo nivel, como el antivirus residente (suponiendo que no confiemos en solo el Windows Defender) debería poder detectar que el archivo «en proceso de ejecución» contiene algún código malicioso.
Recomiendo el uso de un buen antivirus actualizado, un firewall o cortafuegos igualmente actualizado y prudencia al descargar contenido de fuentes que no sean de confianza.
[wp_ad_camp_2]
[sc name=»firma_general»]
Fuente: CyberArk Threat Reserch blog