io_uring de Linux: ¿Un punto ciego para los antivirus?
La empresa de seguridad ARMO ha revelado una vulnerabilidad en la interfaz io_uring de Linux, que permite que el malware eluda la detección de algunos antivirus y herramientas de protección de endpoints. io_uring permite a las aplicaciones realizar operaciones de E/S sin las llamadas al sistema tradicionales, evadiendo el monitoreo basado en llamadas al sistema. La prueba de concepto de ARMO, Curing, evadió con éxito la detección de Falco, Tetragon y Microsoft Defender en las configuraciones predeterminadas. Esta vulnerabilidad podría afectar a decenas de miles de servidores Linux. Si bien los proveedores reconocen el problema y trabajan en soluciones, Google ya ha deshabilitado o restringido el uso de io_uring en ChromeOS y Android después de importantes pagos de recompensas por errores relacionados con fallas en io_uring.