Suficientes problemas tienen las empresas de seguridad al mantener sus aplicaciones actualizadas, tratando de evitar desastres como el más reciente problema que afectó a la gente de McAfee, para que ahora aparezca un nuevo estudio que revelaría una vulnerabilidad común en todos los antivirus que utilicen "ganchos SSDT" para implantar modificaciones y protecciones de bajo nivel en el sistema operativo. Aunque aquellos que realizaron el estudio insisten en que no hay peligro inmediato debido a la extrema complejidad del ataque, lo cierto es que la lista de antivirus afectados es muy extensa, y de haber tenido más tiempo disponible, los investigadores están seguros de que hubiera sido todavía más larga.
Es exactamente como el concepto de la "llave maestra", solo que con un punto de vista más perverso, e ideal para la enorme legión de desarrolladores de código malicioso que están allí afuera, esperando para ingresar a nuestros sistemas. La idea de que todo antivirus en existencia podría llegar a ser derrotado por este nuevo tipo de ataque transmite cierta sensación de impotencia tanto entre los que crean los antivirus como entre quienes los utilizan. Las empresas deben estar en alerta constante, actualizando sus bases de datos, observando de cerca a la competencia y evitando cometer errores que pueden costarle el sistema operativo entero a sus clientes. Y por el lado de los usuarios, además de escoger un antivirus entre la gran cantidad de opciones y la infinidad de opiniones flotando en la red, deben estar conscientes de que cualquier descuido en el mantenimiento y la seguridad del ordenador puede tener un precio demasiado caro.
De acuerdo a lo publicado en el sitio oficial matousec.com, los investigadores han puesto a prueba a la gran mayoría de los productos de seguridad disponibles para sistemas operativos Windows. Si dicho producto utiliza un gancho SSDT u otra clase de gancho a nivel de kernel para implementar sus propios protocolos de seguridad, está abierto a este tipo de ataque. En la lista hemos encontrado a aplicaciones de renombre, desde Norton hasta ESET, pasando por Avira, AVG, McAfee, y Panda, y otros que ofrecen defensas adicionales como Zone Alarm y Online Armor. La única razón por la que la lista no fue más larga, de acuerdo a los investigadores, fue solamente el tiempo. Aparentemente casi todas las soluciones de seguridad, gratuitas y privadas, utilizan algún tipo de gancho para llevar a cabo sus funciones, algo que este ataque puede evadir sin mayores consecuencias.
Las malas noticias no terminan allí. Además de evitar a la gran mayoría de los antivirus, este ataque también funciona en un entorno con privilegios reducidos, algo que de una forma u otra también revela una vulnerabilidad en Windows. Otro detalle es que el atacante necesita contar con alguna forma para ejecutar un archivo de forma remota, pero las vulnerabilidades de "ejecución de código remoto" pueden encontrarse en cualquier parte. Finalmente, la única buena noticia es que no hay ningún riesgo inmediato, ya que el método de ataque necesita una cantidad de código mucho más grande (y con una complejidad mayor) de lo que se puede encontrar en un virus convencional, eliminando cualquier posibilidad de sigilo. Claro que, algo como eso no detendrá a una mente determinada. El código puede hacerse más pequeño y eficiente, por lo cual será muy interesante ver cómo reaccionarán las empresas ante los (implacables) resultados de este estudio.
