Illusion Gap es una nueva vulnerabilidad recién descubierta en el motor de análisis de Windows Defender que puede permitir a una pieza de malware evitar el motor de escaneo en todas las versiones de Windows.
Este fallo se encuentra en la forma en la que Windows Defender escanea los archivos que se ejecutan a través del protocolo SMB antes de su ejecución. Cuando hacemos doble clic sobre un archivo compartido a través de este protocolo, Windows pide una copia para poder ejecutarla, y Windows Defender pide otra para poder analizarla.
Un servidor SMB es capaz de distinguir entre estas dos peticiones y, por ello, un atacante podría configurar un simple servidor SMB dentro de una aplicación de manera que, cuando el usuario la ejecute, Windows Defender reciba una copia limpia del archivo, mientras que Windows reciba el malware desde el mismo archivo.
Según Microsoft, esto no es un fallo de seguridad, por lo que no hay que darle importancia y, de momento, no tiene intenciones de solucionarlo. Este es uno de los principales problemas de Microsoft que, tras no dar importancia a vulnerabilidades y fallos de seguridad, luego cuando se consigue explotar todos se echan las manos a la cabeza, como ocurrió con EternalBlue y WannaCry.
Cómo protegernos de Illusion Gap, el fallo de seguridad de Windows Defender
Es muy difícil protegernos de esta vulnerabilidad ya que se trata de cómo funciona el sistema operativo y los sistemas antivirus a la hora de acceder a recursos a través de SMB, por lo que no existe una fórmula mágica que nos garantice que no caeremos víctimas de este ataque. Por ello, los expertos de seguridad recomiendan no depender solo de un software de seguridad final, sino, sobre todo en empresas, utilizar sistemas de seguridad avanzados que nos puedan ayudar a detectar y mitigar estas amenazas.
Igual que siempre, también debemos tener cuidado con los archivos que descargamos de Internet, descargando solo archivos de confianza para evitar que los piratas informáticos puedan hacer de las suyas. Además, también debemos tener controlados los dominios SMB a los que nos conectamos para evitar que estos puedan distribuir este tipo de malware.
Además de Windows Defender, según los expertos de seguridad puede haber también otros antivirus de terceros que, al funcionar de forma parecida con las peticiones SMB, puedan ser también vulnerables, aunque de momento solo se ha podido demostrar la vulnerabilidad en Windows Defender.
Fuente: https://www.redeszone.net/2017/09/28/illusion-gap-fallo-seguridad-windows-defender/