A veces la seguridad ofrecida por el software puede saltarse de las formas más inverosímiles. Si en una ocasión anterior informamos sobre que macOS aceptaba cualquier contraseña para acceder a los ajustes de la App Store, recientemente ha sido el escáner de antimalware de Windows 10 el que ha quedado en evidencia, debido a que un malware solo tiene que introducir un carácter nulo para saltárselo.
Siendo más concretos, el fallo reside en la Interfaz de Escaneo del Anti-Malware (AMSI), una característica genérica que actúa como punto intermediario entre las aplicaciones y los motores de los antimalware. AMSI permite que un fichero sea escaneado por un software de seguridad local y devuelve un resultado. Fue introducida en Windows 10 como una característica agnóstica con respecto al vendedor, por lo que envía automáticamente cualquier fichero para que sea inspeccionado por cualquier motor de antimalware instalado localmente en un ordenador, yendo más allá del conocido Windows Defender.
Aunque puede escanear cualquier tipo de fichero, Microsoft creó AMSI sobre todo para inspeccionar los scripts que son invocados en tiempo de ejecución, abarcando los de PowerShell, VBScript, Ruby y otros muchos lenguajes. Estas tecnologías interpretadas se han convertido en un medio muy usado para evitar la detección de malware o actividades maliciosas por parte de las soluciones antimalware tradicionales.
La vulnerabilidad ha sido descubierta por el investigador en seguridad Satoshiba Tanda, residente en Vancouver (Canadá). Sobre su explotación, ocurre cuando AMSI realiza su proceso estándar de escaneo y se encuentra con un carácter nulo, el cual trunca el proceso y obvia el resto de los datos. Esto abre la puerta para que un atacante pueda oculta código malicioso debajo de un carácter nulo y saltarse las comprobaciones de ANSI.
Como medida de mitigación, Tanda recomendó a los desarrolladores de antimalware que revisaran sus creaciones para asegurarse de que no se detenían al encontrar un carácter nulo en un fichero de script. Por su parte, Microsoft ya ha corregido el fallo en los parches de seguridad publicados en febrero de 2018, por lo que una actualización del sistema ya tendría que corregirlo en una instalación de Windows 10.