Nuevos fallos en el mejor antivirus Kaspersky,Avira
Los investigadores de ciberseguridad revelaron hoy detalles de las vulnerabilidades de seguridad encontradas en las soluciones antivirus populares que podrían permitir a los atacantes elevar sus privilegios, ayudando así al malware a mantener su punto de apoyo en los sistemas comprometidos.
Según un informe publicado hoy por CyberArk Labs y compartido con The Hacker News, los altos privilegios a menudo asociados con los productos anti-malware los hacen más vulnerables a la explotación a través de ataques de manipulación de archivos, lo que da como resultado un escenario en el que el malware obtiene permisos elevados en el sistema.
Los errores afectan una amplia gama de soluciones antivirus, incluidas las de Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira y Microsoft Defender, cada una de las cuales ha sido corregida por el proveedor respectivo.
El principal de los defectos es la capacidad de eliminar archivos de ubicaciones arbitrarias, lo que permite al atacante eliminar cualquier archivo en el sistema, así como una vulnerabilidad de corrupción de archivos que permite a un mal actor eliminar el contenido de cualquier archivo en el sistema.
Según CyberArk, los errores son el resultado de las DACL predeterminadas (abreviatura de Listas de control de acceso discrecional) para la carpeta «C: \ ProgramData» de Windows, que son las aplicaciones para almacenar datos para usuarios estándar sin requerir permisos adicionales.
Dado que todos los usuarios tienen permisos de escritura y eliminación en el nivel base del directorio, aumenta la probabilidad de una escalada de privilegios cuando un proceso sin privilegios crea una nueva carpeta en «ProgramData» a la que más tarde podría acceder un proceso privilegiado.
Antivirus | Vulnerabilidad |
Centro de seguridad de Kaspersky | CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 |
McAfee Endpoint Security y McAfee Total Protection | CVE-2020-7250, CVE-2020-7310 |
Symantec Norton Power Eraser | CVE-2019-1954 |
Fortinet FortiClient | CVE-2020-9290 |
Check Point ZoneAlarm y Check Point Endpoint Security | CVE-2019-8452 |
Trend Micro HouseCall para redes domésticas | CVE-2019-19688, CVE-2019-19689 y tres fallas más no asignadas |
Avira | CVE-2020-13903 |
Microsoft Defender | CVE-2019-1161 |
En un caso, se observó que dos procesos diferentes – uno privilegiada y la otra ejecutarse como un usuario local autenticado – compartido el mismo archivo de registro, permitiendo potencialmente a un atacante para explotar el proceso privilegiada para eliminar el archivo y crear un enlace simbólico que lo haría apunte a cualquier archivo arbitrario deseado con contenido malicioso.
Posteriormente, los investigadores de CyberArk también exploraron la posibilidad de crear una nueva carpeta en «C: \ ProgramData» antes de que se ejecute un proceso privilegiado.
Al hacerlo, descubrieron que cuando se ejecuta el instalador antivirus de McAfee después de crear la carpeta «McAfee», el usuario estándar tiene control total sobre el directorio, lo que permite al usuario local obtener permisos elevados al realizar un ataque de enlace simbólico.
Para colmo, un atacante podría haber aprovechado una falla de secuestro de DLL en Trend Micro, Fortinet y otras soluciones antivirus para colocar un archivo DLL malicioso en el directorio de la aplicación y elevar los privilegios.
Al instar que las listas de control de acceso deben ser restrictivas para evitar vulnerabilidades de eliminación arbitrarias, CyberArk enfatizó la necesidad de actualizar los marcos de instalación para mitigar los ataques de secuestro de DLL.
Si bien estos problemas pueden haberse abordado, el informe sirve como recordatorio de que las debilidades en el software, incluidas las que tienen como objetivo ofrecer protección antivirus, pueden ser un conducto para el malware.
«Las implicaciones de estos errores son a menudo una escalada de privilegios total del sistema local», dijeron los investigadores de CyberArk. Debido al alto nivel de privilegios de los productos de seguridad, un error en ellos podría ayudar a que el malware se mantenga firme y cause más daño a la organización «.