DoubleAgent: El ataque que transforma a los antivirus en malware
El primer mes del año se fue con una dura crítica por parte de un ex ingeniero de Mozilla hacia los antivirus. Poco tiempo después se sumó un ingeniero de Chrome, quien adoptó una posición idéntica. Y ahora, nos encontramos con algo peor: La posibilidad de convertir a los antivirus en malware. Eso es exactamente lo que hizo la gente de Cybellum con DoubleAgent, un nuevo ataque que depende de una herramienta oficial de Microsoft, y que viene con cada versión de Windows, desde el lanzamiento de XP.
El objetivo principal de los antivirus sigue siendo el mismo: Proteger al usuario y a su ordenador. Sin embargo, las amenazas se multiplicaron, y en un intento por cubrir todos los ángulos, sus responsables han implementado ciertas técnicas que muchos desarrolladores critican de punta a punta. Incluso la opinión de los usuarios se encuentra muy dividida. El debate ya no es sobre qué antivirus instalar, y ahora se cuestiona directamente su utilidad. Los antivirus son considerados «elementos de confianza» en un sistema operativo, y si algo o alguien llegara a comprometer su integridad, sería un desastre. En más de una oportunidad vimos bases de datos con bugs que declaraban a archivos de sistema como amenazas, dejando ordenadores fuera de combate alrededor del globo. ¿Qué es lo que sigue en la lista? Tomar control total del antivirus y usarlo para tareas maliciosas.
Hagamos un lugar a DoubleAgent, un ataque publicado por la gente de Cybellum, el cual puede ser utilizado en cualquier versión de Windows a partir de XP sobre un importante número de antivirus. La historia comienza con una herramienta oficial llamada Microsoft Application Verifier. Su trabajo es reforzar la seguridad y comprobar la integridad de aplicaciones hechas por terceros, pero hay un pequeño detalle, y es que Application Verifier entrega cierto margen de personalización en sus verificadores. DoubleAgent aprovecha esa personalización para llevar a cabo una inyección de código sin que sea detectada o bloqueada por el antivirus, y como si eso fuera poco, la técnica tiene permanencia, o sea que sus efectos seguirán allí aún después de reiniciar el equipo.
En Cybellum confirman que DoubleAgent necesita privilegios elevados para ejecutarse, pero un agente malicioso con los recursos suficientes podría «encadenar bugs» y obtenerlos. Los dos vídeos nos muestran a DoubleAgent transformando a Norton y Avira en ransomware. Por suerte, los desarrolladores no se han quedado de brazos cruzados, y ya hay nuevos parches en camino. Al mismo tiempo, Windows Defender posee una técnica de mitigación llamada «Procesos Protegidos» que lo hace inmune a DoubleAgent, aunque no se trata de algo exclusivo (ESET la aplica en sus procesos críticos).
La entrada DoubleAgent: El ataque que transforma a los antivirus en malware se publicó primero en NeoTeo.