Los investigadores de ciberseguridad han revelado detalles de las vulnerabilidades de seguridad encontradas en las soluciones de antivirus más populares. Estos problemas permitían a los atacantes elevar sus privilegios, lo que facilita al malware mantener su punto de apoyo en los sistemas comprometidos.
Este informe asegura que los altos privilegios asociados con los productos antimalware los hacen más vulnerables a la explotación mediante ataques de manipulación de archivos, lo que da como resultado un escenario en el cual el malware obtiene permisos elevados en el sistema.
Estos fallos afectaban a los antivirus más conocidos del mercado, entre los que se encuentran Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira y Microsoft Defender, pero cada una de las marcas ha corregido sus fallos ya.
El principal defecto se refiere a la capacidad de eliminar archivos de ubicaciones arbitrarias, lo cual permitiría eliminar archivos del sistem
El texto señala que el principal defecto se refiere a la capacidad de eliminar archivos de ubicaciones arbitrarias, lo cual permitiría eliminar archivos del sistema. Además, destaca una vulnerabilidad de corrupción e archivo por la cual podría eliminarse el contenido de cualquier archivo del sistema.
Estos errores son resultado, según CyberArk, de las DACL predeterminadas (Listas de control de acceso discrecional) para la carpeta ‘C:\ ProgramData’ de Windows, que son aplicaciones para almacenar datos para usuarios estándar sin requerir permisos adicionales.
Todos los usuarios tienen permisos de escritura y eliminación en el nivel base del directorio, esto aumenta la probabilidad de una escalada de privilegios cuando un proceso sin privilegios crea una nueva carpeta en ‘ProgramData’ al que más tarde podría acceder un proceso con privilegios.
“Las implicaciones de estos errores son a menudo una escalada de privilegios total del sistema local”, explican los investigadores de CyberArk. “Debido al alto nivel de privilegios de los productos de seguridad, un error en ellos podría ayudar al malware a mantenerse firme y causar más daño a la organización”, advierten.
Antivirus
|
Vulnerabilidad
|
Kaspersky Security Center
|
CVE-2020-25043, CVE-2020-25044, CVE-2020-25045
|
McAfee Endpoint Security and McAfee Total Protection
|
CVE-2020-7250, CVE-2020-7310
|
Symantec Norton Power Eraser
|
CVE-2019-1954
|
Fortinet FortiClient
|
CVE-2020-9290
|
Check Point ZoneAlarm and Check Point Endpoint Security
|
CVE-2019-8452
|
Trend Micro HouseCall for Home Networks
|
CVE-2019-19688, CVE-2019-19689, and three more unassigned flaws
|
Avira
|
CVE-2020-13903
|
Microsoft Defender
|
CVE-2019-1161
|
En uno de los casos, se vio que dos procesos diferentes, uno con privilegios y el otro ejecutado como un usuario local autenticado. Ambos compartían el mismo archivo de registro, lo que permite a un atacante aprovechar el proceso con privilegios para eliminar el archivo y crear un enlace simbólico que apunte a cualquier archivo arbitrario deseado con contenido malicioso.
Además, los investigadores de CyberArk han explorado la posibilidad de crear una nueva carpeta en ‘C:\ ProgramData’ antes de que se ejecute un proceso privilegiado.
Al hacer esto, se ha descubierto que cuando se ejecuta el instalador antivirus de McAfee después de crear la carpeta ‘McAfee’, el usuario estándar tiene un control total sobre el directorio, lo que permite obtener permisos elevados al realizar un ataque de enlace simbólico.
Asimismo, un atacante podía aprovechar un fallo de secuestro de DLL en Trend Micro, Fortinet y otras soluciones antivirus para colocar un archivo DLL malicioso en el directorio de la aplicación y elevar los privilegios.
Hay que tener en cuenta que todos estos fallos ya se han abordado y solucionado, pero los investigadores recuerdan que las debilidades en el software, incluidas las que tienen como objetivo ofrecer protección antivirus, pueden ser un canal para el malware.