Esta semana se han encendido las luces de alarma y el pánico se ha apoderado del mundo de la seguridad. La historia de una vulnerabilidad llamada Khobe. Un titular que ha llegado tan lejos como para anunciar “nuevo ataque podría traspasar toda la protección antivirus”

El ejemplo de ataque, que simula ser una versión del software de seguridad 8.0 earthquake for desktop security software,   describe cómo  una supuesta vulnerabilidad afecta a todos los AV y HIPS. Virtualmente cualquier aplicación sería vulnerable.

El dramatismo de algunos titulares podría hacer pensar que el mundo de la seguridad se ha acabado tal y como lo conocemos, pero la realidad es bastante diferente:

  • Esta técnica no es nueva, se conoce desde hace años
  •  Nunca se ha visto en el mundo real, donde la tendencia es usar técnicas más simples como Rootkits
  • Presupone que el antimalware no tiene una firma ni para el virus ni para la familia.
  • Presupone que las soluciones de seguridad usan hooks (enganches) al kernel, los cuales están protegidos desde el Service Pack 1 de Vista

Entonces, el ataque Khobe se reduce a esto: si estás usando XP, tu antimalware usa hooks, y no reconoce el malware, entonces podrías ser infectado.

En nuestro caso,  el escaneado en  acceso  de Sophos, no utiliza SSDT hooks, por lo que podemos decir sin temor a equivocarnos que ésta no es una vulnerabilidad que nos afecte en absoluto. Pero ¿qué decir de los otros software antivirus? Aunque no soy muy dado a hablar de la competencia, me siento obligado a hacerlo en este caso

Entonces, antes de correr a las trincheras y prepararte para un mundo donde  virus y hackers campen a sus anchas, por favor lee el excelente artículo que Paul Duckling ha escrito examinando en detalle este “terremoto”.