Nuevas fallas en el mejor software antivirus podrían hacer que las computadoras sean más vulnerables

antivirus

Los investigadores de seguridad cibernética revelaron hoy detalles de las vulnerabilidades de seguridad encontradas en soluciones antivirus populares que podrían permitir a los atacantes elevar sus privilegios, ayudando así al malware a mantener su posición en los sistemas comprometidos.

Según un informe publicado hoy por el investigador de CyberArk Eran Shimony y compartido con The Hacker News, los altos privilegios que a menudo se asocian con los productos antimalware los vuelven más vulnerables a la explotación a través de ataques de manipulación de archivos, lo que da como resultado un escenario en el que el malware obtiene permisos elevados en el sistema.

Los errores afectan a una amplia gama de soluciones antivirus, incluidas las de Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira y Microsoft Defender, cada una de las cuales ha sido corregida por el proveedor respectivo.

La principal de las fallas es la capacidad de eliminar archivos de ubicaciones arbitrarias, lo que permite al atacante eliminar cualquier archivo del sistema, así como una vulnerabilidad de corrupción de archivos que permite a un malhechor eliminar el contenido de cualquier archivo del sistema.

Según CyberArk, los errores son el resultado de las DACL predeterminadas (abreviatura de Listas de control de acceso discrecional) para la carpeta «C: ProgramData» de Windows, que son aplicaciones para almacenar datos para usuarios estándar sin necesidad de permisos adicionales.

Dado que cada usuario tiene permiso de escritura y eliminación en el nivel base del directorio, aumenta la probabilidad de una escalada de privilegios cuando un proceso sin privilegios crea una nueva carpeta en «ProgramData» a la que un proceso privilegiado podría acceder más tarde.

antivirus

Vulnerabilidad

Centro de seguridad de Kaspersky CVE-2020-25043, CVE-2020-25044, CVE-2020-25045
McAfee Endpoint Security y McAfee Total Protection CVE-2020-7250, CVE-2020-7310
Borrador de energía Symantec Norton CVE-2019-1954
Fortinet FortiCliente CVE-2020-9290
Check Point ZoneAlarm y Check Point Endpoint Security CVE-2019-8452
Trend Micro HouseCall para redes domésticas CVE-2019-19688, CVE-2019-19689 y tres fallas más sin asignar
Avira CVE-2020-13903
defensor de Microsoft CVE-2019-1161

En un caso, se observó que dos procesos diferentes, uno privilegiado y el otro ejecutado como un usuario local autenticado, compartían el mismo archivo de registro, lo que potencialmente permitía que un atacante explotara el proceso privilegiado para eliminar el archivo y crear un enlace simbólico que apunte a cualquier archivo arbitrario deseado con contenido malicioso.

Posteriormente, los investigadores de CyberArk también exploraron la posibilidad de crear una nueva carpeta en «C:ProgramData» antes de que se ejecute un proceso privilegiado.

Al hacerlo, descubrieron que cuando se ejecuta el instalador antivirus de McAfee después de crear la carpeta «McAfee», el usuario estándar tiene control total sobre el directorio, lo que permite que el usuario local obtenga permisos elevados al realizar un ataque de enlace simbólico.

Para colmo, un atacante podría haber explotado una falla de secuestro de DLL en Trend Micro, Fortinet y otras soluciones antivirus para colocar un archivo DLL malicioso en el directorio de la aplicación y elevar los privilegios.

Al instar a que las listas de control de acceso deben ser restrictivas para evitar vulnerabilidades de eliminación arbitraria, CyberArk enfatizó la necesidad de actualizar los marcos de instalación para mitigar los ataques de DLL Hijacking.

Si bien es posible que se hayan abordado estos problemas, el informe sirve como un recordatorio de que las debilidades en el software, incluidas aquellas que tienen como objetivo ofrecer protección antivirus, pueden ser un conducto para el malware.

«Las implicaciones de estos errores son a menudo una escalada de privilegios total del sistema local», dijeron los investigadores de CyberArk. Debido al alto nivel de privilegios de los productos de seguridad, un error en ellos podría ayudar al malware a mantenerse firme y causar más daño a la organización».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática