Illusion Gap, el nuevo ataque que engaña a Windows Defender

Escrito por Roberto Adeva
Seguridad

Hemos visto como con la llegada de la última gran actualización, Windows 10 Creators Update, Microsoft mejoraba su herramienta de seguridad, Windows Defender. Tanto es así que se ha convertido en un completo centro de seguridad con el que los de Redmond han afirmado en numerosas ocasiones, que no es necesario tener otro antivirus, ya que Windows Defender es capaz de darnos la protección suficiente para evitar ser infectados. Sin embargo, un grupo de investigadores de seguridad han descubierto una nueva técnica capaz de engañar a Windows Defender.

Concretamente han sido los investigadores de seguridad de la compañía CyberArk quienes han alertado de esta nueva técnica a la que han bautizado con el nombre de Illusion Gap. Esta técnica o ataque es capaz de analizar los archivos almacenados en un recurso compartido de SMB antes de su ejecución y hace que el atacante engañe a Windows Defender mostrándole un archivo a analizar que no es malicioso, mientras que el que se ejecuta si lo hace con malas intenciones.

Así consigue Illusion Gap engañar a Windows Defender

La técnica de Illusion Gap se basa en conseguir que el usuario al final ejecute un archivo que no es legítimo y que está alojado en un servido SMB controlado por el atacante. Los problemas se producen por lo tanto después de que finalmente el usuario haga clic en el archivo malicioso después de haber engañado a Windows Defender para que analice otra versión distinta del mismo archivo.

illusion gap, windows defender

Para ello se aprovechan de que los servidores SMB pueden distinguir entre dos solicitudes, ya que de esta manera, el servidor SMB controlado por el atacante responderá con dos archivos distintos, uno con el código malicioso que será enviado para su ejecución y otro que no levanta ninguna sospecha que será el analizado por Windows Defender. De esta forma, Windows PE Loader ejecutará el archivo malicioso sin que Windows Defender se de cuenta de que son dos archivos distintos.

CyberArk ha dado a conocer este problema a Microsoft, pero los de Redmond parece que no lo ven como un problema de seguridad en sí. Además los propios descubridores advierten que otros antivirus podrían también ser vulnerables a Illusion Gap aunque no se han hecho pruebas con otras herramientas de seguridad. Si quieres conocer todos los detalles de Illusion Gap puedes verlos en este mismo enlace. Los investigadores de CyberArk han elaborado un vídeo que han publicado en YouTube donde se muestra gráficamente cómo funciona el ataque Illusion Gap y donde se puede entender la técnica utilizada.

Fuente > bleepingcomputer

Compártelo. ¡Gracias!
Continúa leyendo