El pasado 9 de mayo, investigadores de Matousec publicaron el artículo Khobe 8.0 Earthquake vulnerability un artículo sobre una supuesta vulnerabilidad o forma de ataque a cual todos los AV, HIPS y, virtualmente cualquier aplicación sería vulnerable, siempre y cuando se utilizaran hooks (enganches) SSDT (System Service Descriptor Table) en el Kernel del sistema operativo Windows.

El tabla SSDT contiene llamadas al núcleo y a las funciones del sistema operativo y por lo tanto a través de ella se puede controlar las funciones del mismo así como también es una manera ideal de controlar la protección en tiempo real, la implementada en los productos de antivirus. Es común, frecuente y correcto que los productos de seguridad obtengan acceso legal a esta tabla para implementar todas las medidas necesarias para evitar la ejecución de código dañino en el sistema.

Esto es lo que describe y "descubre" el paper mencionado pero en realidad, este tipo de ataque es lo que se conoce desde hace tiempo (al menos desde 1996) como ToC-ToU (Time-of-Check-to-Time-of-Use) o genéricamente como Race Condition (condición de carrera) en donde se dice que la primera aplicación en ejecutarse es la que obtiene el control del proceso. También es posible encontrar abundante bibliografía de la técnica en libros y sitios web.

En lo que respecta a los productos de ESET, dadas ciertas circunstancias puede permitir que cierto tipo de malware realice algunas actividades sobre el módulo de Self-Defense, si bien el código a implementar es extremadamente extenso y el exploit tiene muchas limitaciones para que su implementación sea posible en el malware real.

Por ende el terremoto anunciado no es tal debido a que el riesgo para los usuarios es bajo y no tienen que estar preocupados por este tipo de ataque, ya que a pesar de que este posible escenario es conocido desde hace más de 10 años, nunca se lo ha visto en el mundo real. Esto implica varias cosas:

  1. El módulo de exploración (scanning) no está afectado
  2. Este tipo de ataques no significan un peligro real ni una tendencia en el malware actual, el cual utiliza técnicas más sencillas y masivas (como los rootkits) para realizar ataque
  3. Este método no ha sido visto In-the-Wild (o sea, activo en el mundo real) en la actualidad si bien la investigación original ya tiene muchos años de publicada
  4. Por último y más importante, si el ataque KHOBE se lleva a cabo es porque el mismo se está realizando sobre un sistema ya comprometido previamente

En este momento ESET está investigando para prevenir este tipo de ataque en caso de que se comience a utilizar de forma abusiva en algún momento. Además, siempre es necesario que los usuarios mantengan actualizada las soluciones de seguridad y que cuando navegan por Internet o utilicen sus equipos sigan las buenas prácticas de seguridad para aumentar aún más el potencial riesgo de ataques informáticos.

Cristian Borghello
Director de Educación e Investigación