martes, 7 de julio de 2009

¿Actualizó su antivirus? no las firmas, sino el programa

De tanto repetirlo todos los que se dedican a la seguridad, han logrado que hasta nuestra abuelita sepa que hay que mantener actualizadas las firmas/definiciones del antivirus en nuestros equipos. Otra cosa distinta es que lo hagan, pero ya conseguimos algo. :)

Pero lo que no todos lo tienen tan claro, y se refieren a esto los que se dedican a la seguridad, es que los motores antivirus también tienen actualizaciones de seguridad pues pueden sufrir de fallas de seguridad, como cualquier programa.

En particular hay un tipo de fallas denominadas de evasión. Estas fallas consisten en que una vez halladas, un atacante podría explotarla de forma tal que logra evitar que el motor del antivirus sea capaz de examinar algún archivo particular que contenga una carga maliciosa.

Muchos productos de distintas marcas padecen y solucionan este tipo de fallas que investigadores como Thierry Zoller descubren y reportan para su solución. Y como pasa con los distintos fabricantes de software, no todos reaccionan velozmente prestando la debida atención a estos temas.

Una de las últimas fallas de evasión halladas por Zoller fue en el motor de todos los productos de Kaspersky y consiste en una forma de evadir al motor de escaneo de forma que un archivo PDF especialmente preparado, puede alojar un código malicioso y el motor heurístico no lo examinará ni lo hallará problemático dejándolo pasar.

Sorprende leer que una empresa como Kaspersky, después de un intento silencioso, aun no logró solucionarlo y también que no establece una buena comunicación con este investigador que les señala un problema en sus productos.

He observado cuantas instalaciones antivirus con sus licencias pagas al día siguen utilizando versiones de uno o más años de antigüedad. Evidentemente no se ha prestado atención a actualizar el programa, un aspecto de importancia tal como el actualizar las firmas.

Por eso es recomendable que los administradores además de las firmas verifiquen tener la última versión del motor/programa antivirus; sobre todo en los equipos servidores que analizan el ingreso de correo y sus adjuntos tanto como los que analizan archivos descargados o transferidos desde Internet. Sin entrar en mayores detalles, es en este tipo de equipos donde las fallas que permiten la evasión al escaneo afectan más.

Si quiere leer sobre la fallas descripta de Kaspersky puede verlo aquí. Y para conocer sobre las fallas de evasión en general vea esta nota en el blog de Zoller, es un trabajo corto y muy comprensible, para técnicos. (en inglés)

Algo que nos quedó claro después de revisar los reportes de fallas que hizo Zoller a distintos fabricantes de programas antivirus, es que no todas las empresas reaccionan igual cuando les informan de una falla en su producto.

De los reportes de fallas halladas por Zoller de este año, uno o dos por fabricante, se ve que fueron rápidos, colaboradores y de buena respuesta para solucionarla empresas como: AVG, Avira, BitDefender, Eset, McAfee, Comodo y ClamAV.

En tanto otros ignoran, se demoran o no reaccionan con parches a las fallas reportadas, tales son los casos de F-Prot, Kaspersky, TrendMicro, Aladin, Avast, Fortinet, IBMProventia.

En una próxima nota examinaremos el impacto de estas falla de evasión en los motores Antivirus.

Basado en información del: blog de Thierry Zoller (en ingles).

Fuente: Segu Info News