Illusion Gap es una nueva
vulnerabilidad recién descubierta en el motor de análisis de Windows Defender
que puede permitir a una pieza de malware evitar el motor de escaneo en todas
las versiones de Windows.
Este fallo se encuentra en la forma en
la que Windows Defender escanea los archivos que se ejecutan a través del
protocolo SMB antes de su ejecución. Cuando hacemos doble clic sobre un archivo
compartido a través de este protocolo, Windows pide una copia para poder
ejecutarla, y Windows Defender pide otra para poder analizarla.
Suite
Windows Defender en Windows 10
Un servidor SMB es capaz de distinguir
entre estas dos peticiones y, por ello, un atacante podría configurar un simple
servidor SMB dentro de una aplicación de manera que, cuando el usuario la
ejecute, Windows Defender reciba una copia limpia del archivo, mientras que
Windows reciba el malware desde el mismo archivo.
Según Microsoft, esto no es un fallo
de seguridad, por lo que no hay que darle importancia y, de momento, no tiene
intenciones de solucionarlo. Este es uno de los principales problemas de
Microsoft que, tras no dar importancia a vulnerabilidades y fallos de
seguridad, luego cuando se consigue explotar todos se echan las manos a la
cabeza, como ocurrió con EternalBlue y WannaCry.
Cómo
protegernos de Illusion Gap, el fallo de seguridad de Windows Defender
Es muy difícil protegernos de esta
vulnerabilidad ya que se trata de cómo funciona el sistema operativo y los
sistemas antivirus a la hora de acceder a recursos a través de SMB, por lo que
no existe una fórmula mágica que nos garantice que no caeremos víctimas de este
ataque. Por ello, los expertos de seguridad recomiendan no depender solo de un
software de seguridad final, sino, sobre todo en empresas, utilizar sistemas de
seguridad avanzados que nos puedan ayudar a detectar y mitigar estas amenazas.
Igual que siempre, también debemos
tener cuidado con los archivos que descargamos de Internet, descargando solo
archivos de confianza para evitar que los piratas informáticos puedan hacer de
las suyas. Además, también debemos tener controlados los dominios SMB a los que
nos conectamos para evitar que estos puedan distribuir este tipo de malware.
Además de Windows Defender, según los
expertos de seguridad puede haber también otros antivirus de terceros que, al
funcionar de forma parecida con las peticiones SMB, puedan ser también
vulnerables, aunque de momento solo se ha podido demostrar la vulnerabilidad en
Windows Defender.
Fuente: bleepingcomputer
