Nueva técnica de hacking para explotar antivirus y extraer datos de servidores

Publicado por: La Redacción - kfiguereo@juventud.gob.do

El equipo de expertos en seguridad de aplicaciones web de TokyoWesterns acaba de revelar un nuevo método de ataque que, de ser explotado, permitiría la extracción de información confidencial de cualquier servidor protegido con Windows Defender.

Este método de ataque, apodado “AV Oracle”, fue revelado durante un reciente evento de ciberseguridad y, según sus desarrolladores, se trata de una técnica especializada de falsificación de solicitudes en el lado del servidor que aprovecha los mecanismos de seguridad incluidos en Windows Defender por defecto. Windows Defender es la herramienta de seguridad antivirus preinstalada en los sistemas de Microsoft.

Resultado de imagen para Windows Defender.

Esta clase de ataques (comúnmente conocidos como ataques SSRF) dependen del envío de paquetes de solicitudes especialmente diseñados para engañar a los servidores y obtener como respuesta información confidencial, inaccesible de otro modo para los actores de amenazas, aseguran los especialistas en seguridad de aplicaciones web.

Usualmente, los hackers recurren al uso de ataques SSRF para acceder a ciertos recursos, como archivos confidenciales y otros recursos, a los que sólo se puede acceder a través de una red local del servidor objetivo. En el método desarrollado por los investigadores se muestra un ataque contra una aplicación web ejecutada en un servidor protegido con Windows Defender.

La aplicación objetivo contenía algunas URL disponibles públicamente (cualquier usuario podría acceder a ellas), además de una URL accesible solamente para los administradores usando la dirección local “localhost” (en el mismo servidor); según los expertos, esta URL contenía la información confidencial del objetivo.

Posteriormente, los expertos en seguridad de aplicaciones web crearon un fragmento de código JavaScript especialmente diseñado para incrustarlo en la cadena de consulta de una de las URL disponibles públicamente. Esto provoca que algunas características de protección en Windows Defender analicen el fragmento de código buscando comandos maliciosos. Este análisis afecta las respuestas del servidor al cliente, por lo que un hacker podría hacer que Windows Defender filtre información confidencial almacenada en la aplicación web objetivo manipulando su script cuidadosamente.

Además, esta vulnerabilidad también podría ser clasificada como un exploit de la categoría XS-Search. En otras palabras, esta falla hace que el software antivirus pierda un valor secreto al almacenar un archivo que contiene un valor controlado por el atacante e información confidencial.

Acorde a especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) Windows Defender comenzaría a filtrar de forma involuntaria múltiples detalles sobre el sistema atacado a los atacantes. Al ser consultado acerca de esta falla, uno de los miembros del equipo que realizó esta investigación aseguró que este método de ataque podría ser funcional en otras soluciones de protección de endpoint, destacando este escenario requeriría que el antivirus atacado cuente con un componente para analizar código JavaScript, al igual que Windows Defender.

Por otra parte, al ser cuestionado acerca del potencial dañino del ataque AV Oracle en otros escenarios o contra otros objetivos, el especialista mencionó que la investigación aún no concluye, por lo que nuevas formas de explotar estas fallas podrían aparecer en breve, aunque sí menciona un potencial escenario: “Puede que este ataque también funcione contra la memoria caché de un navegador, por lo que AV Oracle afectaría a los servidores y a los usuarios”, advierte el experto.

Fuente: Noticias Seguridad