La seguridad es una de las prioridades de cualquier usuario para proteger sus dispositivos. Sin embargo, las amenazas crecen constantemente y son cada vez más difíciles de detectar y de lidiar con ellas. Si pensabas que después de los ransomware no podía haber nada peor estabas equivocado, Process Doppelgänging es capaz de infectar cualquier versión de Windows sin ser detectado.
Hace poco el tema del momento eran los ransomware, de los que nos acordamos de WannaCry y de su cepa Petya. Ambos secuestraban los datos del equipo o equipos infectados y no los liberaban si no se hacía una transacción a los hackers que lo liberaron. Pero ahora la amenaza es mucho mayor y más grave, especialmente si eres usuario de un ordenador con cualquier versión moderna de Windows.
Bautizado como Process Doppelgänging, esta nueva técnica de inyección de código aprovecha una función nativa de Windows y una implementación desactualizada para cargar procesos. Los responsables del hallazgo han presentado su descubrimiento durante la conferencia de seguridad Black Hat 2017 celebra en la ciudad de Londres.
Según han explicado, Process Doppelgänging es capaz de atacar todas las versiones modernas del sistema operativo de Microsoft. Esto implica que es capaz de comprometer la seguridad desde Windows Vista a Windows 10. El jefe de la investigación señala que su funcionamiento es similar al de la técnica Process Hollowing utilizada hace años para saltarse las funciones de mitigación de las principales soluciones de seguridad.
En este momento, todos los antivirus modernos se han actualizado para que Process Hollowing no sirva de nada, por lo que se ha tenido que buscar otro enfoque para lograr al similar. En este caso, tenemos Process Doppelgänging que “abusa” de las Windows NTFS Transactions y de esa implementación desactualizada de Windows que fue diseñada en su momento para Windows XP, pero que ha pasando de versión en versión.
En las pruebas realizadas han conseguir saltarse con éxito las medidas de seguridad impuestas por Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda o herramientas como Volatility. En Windows 7 Service Pack 1, Windows 8.1 y Windows 10 ha demostrado su funcionamiento.
Eso sí, hay que dejar claro que no han sido capaces de saltarse la seguridad de los antivirus en Windows 10 Fall Creators Update debido a que el uso de esta técnica provocaba un error y la consiguiente aparición del famoso pantallazo azul de la muerte. Curiosamente, Microsoft parcheó recientemente este problema, por lo que es posible que Process Doppelgänging vuelva a funcionar incluso en estas versiones.
Aunque no se espera una respuesta inmediata de Microsoft lanzando un parche de seguridad de emergencia, sí sería recomendable que las principales soluciones de seguridad, con los antivirus a la cabeza, lanzaran actualizaciones para acabar con esta técnica.