Deshabilitando los exploits de Flash

Kaspersky Lab ha patentado una tecnología que puede inutilizar los exploits de Adobe Flash mediante el uso de una tecnología especial de detección.

Dame tu opinión sobre Adobe Flash y te diré si trabajas en ciberseguridad. Para la mayoría de las personas, Flash es algo que tu navegador te pide actualizar antes de reproducir un vídeo viral. Los expertos en tecnología suelen entrar en cólera solo con pensar en las inseguridades de esta plataforma porque por ellas es muy simple sembrar el caos.

https://media.kasperskydaily.com/wp-content/uploads/sites/88/2020/06/30161352/flash-malware-detection-featured.jpg

De hecho, Adobe Flash coronó nuestra lista de los programas más explotables de 2015. En ella, también verás otros nombres populares en las primeras posiciones, como Java, Adobe Reader, Microsoft Office y Silverlight. Pero Flash es extremadamente el más popular de estos porque está altamente lleno de vulnerabilidades y los usuarios no lo actualizan con la frecuencia necesaria.

Con ello en mente, nos complace anunciar que a Kaspersky Lab se le ha concedido una patente tecnológica que es de especial ayuda para combatir el tipo de exploits que afectan, en particular, a los usuarios de Flash.

¿En qué son diferentes los exploits de Flash?

Nos alegra que lo preguntes. Para responder de forma simple, debemos hacer un repaso a la historia. Básicamente, solo hay dos formas de infectar tu PC. El primer método requiere de tu participación directa: descargar y abrir un archivo ejecutable, un documento con macros maliciosas o haciendo clic en enlaces maliciosos, ese tipo de cosas.
El segundo método no requiere que hagas nada. En este caso, lo que hacen los ciberdelincuentes es buscar y explotar una vulnerabilidad de tu sistema operativo o de uno de los programas que hayas instalado y utilizado. Por ejemplo, si un navegador tiene una vulnerabilidad, abrir una única página web maliciosa sería suficiente. (Los lectores de Kaspersky Daily no se sorprenderán de la abundancia de webs maliciosas).

La forma más fácil de infectar tu PC es hacerlo por Internet ya que los exploits de páginas web son muy populares entre los ciberdelincuentes. Pero no tienen por qué necesitar las vulnerabilidades de los navegadores porque, a menudo, obtienen acceso a los componentes de Java o de Adobe Flash Player, los cuales se encargan de la reproducción del contenido multimedia de una web.

Imagínate que los vídeos de Flash no son archivos que se abren en un programa, sino que son programas de verdad. Se descargan junto con otros contenidos de una página web, pero se ejecutan por separado con la ayuda del componente de Adobe Flash instalado en tu sistema. Aun así, el proceso es algo más complejo. Para ejecutar dichos programas de forma segura, Adobe Flash los ejecuta en su propio entorno virtual (en otras palabras: estos programas se ejecutan en un ordenador simulado dentro de tu ordenador).

Entonces, ¿una máquina virtual hace que Flash sea seguro?

¡Gran pregunta! Flash ejecuta archivos en un entorno virtual protegido porque ejecutar código proveniente de cualquier rincón de Internet es arriesgado. Si todos los códigos se ejecutan dentro de una máquina virtual, cualquier código descargado de Internet que intente hacerle algo a tu ordenador no tendrá acceso a tus archivos ni documentos (ni tampoco a componentes críticos del sistema operativo). Pero esto es cierto solo en la teoría. En la realidad, los exploits pueden saltarse las medidas de seguridad de Flash (como la virtualización) mediante el uso de las vulnerabilidades de Adobe Flash.

Hay otra cuestión: la naturaleza del archivo y de la máquina virtual Flash crean un entorno favorable para ocultar al sistema las intenciones de las amenazas. Los hackers también pueden crear un único archivo por cada víctima.

Ello representa un problema particular para el sistema de detección de los antivirus tradicionales que dependen de enormes listas de archivos para detectar el malware. Todos estos millones de exploits trabajan del mismo modo, pero para una solución de seguridad son diferentes. Además, los programas de Adobe Flash pueden escribirse en uno de los tres lenguajes de programación, lo que añade una complejidad adicional a la responsabilidad del sistema para detectar contenido malicioso entre contenido Flash legítimo.

Si no te puedes fiar de los nombres de los archivos y el entorno virtual no es seguro, ¿que puedes hacer?

Esta es una pregunta que lleva mucho tiempo sonando entre la comunidad de seguridad informática. Necesitábamos un modo de identificar la naturaleza maliciosa del código antes de ejecutarlo. En teoría, podíamos ejecutar un programa en nuestra propia máquina virtual antes de transmitir el código a Adobe Flash, pero este planteamiento es demasiado complejo y se necesita una gran cantidad de recursos para usarlo de forma práctica y diaria. Aunque solo se tarde una fracción de segundo, las personas están acostumbradas a soluciones inmediatas en la red.

Si parece un exploit

Aquí es donde entra la nueva tecnología de Kaspersky Lab. Creada por Anton Ivanov y Alexander Liskin y basada en la emulación de código sospechoso, nuestro método necesita menos tiempo para analizar un gran volumen de objetos similares con pequeñas diferencias. Los desarrolladores del método se sirvieron del modelo de máquina de pila, no para ejecutar código, sino para recopilar información sobre él.
El resultado obtenido fue que los objetos maliciosos de Flash no tenían que ser ejecutados para revelar su verdadera naturaleza. Ni las modificaciones que los desarrolladores del malware introducen a casi todas las muestras de código pueden ocultar las intenciones maliciosas del programa si aplicamos nuestro método.

Por último, siempre y cuando conozcamos un método para explotar Flash, podremos bloquear automáticamente todo el malware que utilice el mismo método. Una vez que integramos dicha tecnología en Kaspersky Internet Security y en Kaspersky Total Security, nuestro índice de detección para este tipo específico de amenazas se duplicó.

Un último apunte histórico, para que tengas más perspectiva: las compañías de antivirus luchan por incrementar sus índices unas décimas porcentuales. Duplicar el índice es algo sorprendente.

Consejos