Febrero 2013
5 de diciembre de 2020, 10:18:40
El Aguijón


Los investigadores descubren fallos de seguridad en los antivirus más populares del mundo

Por Alfonso de Castañeda

Según un informe publicado por el investigador de CyberArk, Eran Shimony, se ha descubierto un fallo de seguridad que afecta a los antivirus más conocidos del mercado, con marcas como Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira y Microsoft Defender.


Los investigadores de ciberseguridad han revelado detalles de las vulnerabilidades de seguridad encontradas en las soluciones de antivirus más populares. Estos problemas permitían a los atacantes elevar sus privilegios, lo que facilita al malware mantener su punto de apoyo en los sistemas comprometidos.

Este informe asegura que los altos privilegios asociados con los productos antimalware los hacen más vulnerables a la explotación mediante ataques de manipulación de archivos, lo que da como resultado un escenario en el cual el malware obtiene permisos elevados en el sistema.

Estos fallos afectaban a los antivirus más conocidos del mercado, entre los que se encuentran Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira y Microsoft Defender, pero cada una de las marcas ha corregido sus fallos ya.

El principal defecto se refiere a la capacidad de eliminar archivos de ubicaciones arbitrarias, lo cual permitiría eliminar archivos del sistem

El texto señala que el principal defecto se refiere a la capacidad de eliminar archivos de ubicaciones arbitrarias, lo cual permitiría eliminar archivos del sistema. Además, destaca una vulnerabilidad de corrupción e archivo por la cual podría eliminarse el contenido de cualquier archivo del sistema.

Estos errores son resultado, según CyberArk, de las DACL predeterminadas (Listas de control de acceso discrecional) para la carpeta ‘C:\ ProgramData’ de Windows, que son aplicaciones para almacenar datos para usuarios estándar sin requerir permisos adicionales.

Todos los usuarios tienen permisos de escritura y eliminación en el nivel base del directorio, esto aumenta la probabilidad de una escalada de privilegios cuando un proceso sin privilegios crea una nueva carpeta en ‘ProgramData’ al que más tarde podría acceder un proceso con privilegios.

“Las implicaciones de estos errores son a menudo una escalada de privilegios total del sistema local”, explican los investigadores de CyberArk. “Debido al alto nivel de privilegios de los productos de seguridad, un error en ellos podría ayudar al malware a mantenerse firme y causar más daño a la organización”, advierten.

Antivirus

Vulnerabilidad

Kaspersky Security Center

CVE-2020-25043, CVE-2020-25044, CVE-2020-25045

McAfee Endpoint Security and McAfee Total Protection

CVE-2020-7250, CVE-2020-7310

Symantec Norton Power Eraser

CVE-2019-1954

Fortinet FortiClient

CVE-2020-9290

Check Point ZoneAlarm and Check Point Endpoint Security

CVE-2019-8452

Trend Micro HouseCall for Home Networks

CVE-2019-19688, CVE-2019-19689, and three more unassigned flaws

Avira

CVE-2020-13903

Microsoft Defender

CVE-2019-1161

En uno de los casos, se vio que dos procesos diferentes, uno con privilegios y el otro ejecutado como un usuario local autenticado. Ambos compartían el mismo archivo de registro, lo que permite a un atacante aprovechar el proceso con privilegios para eliminar el archivo y crear un enlace simbólico que apunte a cualquier archivo arbitrario deseado con contenido malicioso.

Además, los investigadores de CyberArk han explorado la posibilidad de crear una nueva carpeta en ‘C:\ ProgramData’ antes de que se ejecute un proceso privilegiado.

Al hacer esto, se ha descubierto que cuando se ejecuta el instalador antivirus de McAfee después de crear la carpeta ‘McAfee’, el usuario estándar tiene un control total sobre el directorio, lo que permite obtener permisos elevados al realizar un ataque de enlace simbólico.

Asimismo, un atacante podía aprovechar un fallo de secuestro de DLL en Trend Micro, Fortinet y otras soluciones antivirus para colocar un archivo DLL malicioso en el directorio de la aplicación y elevar los privilegios.

Hay que tener en cuenta que todos estos fallos ya se han abordado y solucionado, pero los investigadores recuerdan que las debilidades en el software, incluidas las que tienen como objetivo ofrecer protección antivirus, pueden ser un canal para el malware.

Zonamovilidad.es.  Todos los derechos reservados.  ®2020   |  www.zonamovilidad.es