SafeBreach detecta 3 vulnerabilidades principales con Development Micro, Autodesk y Kaspersky


Los problemas han sido reparados o resueltos, pero los investigadores dicen que representan un paso preocupante en cómo los atacantes pueden manipular sistemas de seguridad confiables.

Cómo los hackers usan tácticas de baja tecnología para apuntar a negocios
El vicepresidente de BioCatch, Frances Zelazny, explica la mecánica del pretexting y la ingeniería social, y por qué su empresa es vulnerable a los hacks de baja tecnología.

SafeBreach Labs descubrió tres vulnerabilidades que afectan Development Micro Máxima seguridad software program, Aplicación de escritorio de Autodesk application y Conexión segura de Kaspersky, un cliente VPN conectado a Kaspersky Internet Safety.

Las vulnerabilidades han sido reparadas o resueltas por las compañías, pero el investigador principal de SafeBreach, Peleg Hadar, dijo que representaban un preocupante paso adelante en cómo los atacantes pueden manipular sistemas de seguridad confiables. Cada uno fue descubierto en julio o agosto y SafeBreach trabajó con las compañías para resolver los errores.

«Todos son similares, pero el TrendMicro y el AutoDesk son un poco más críticos porque en algunas situaciones, no se necesita un administrador para activar la vulnerabilidad», dijo Hadar.

«El que es el más crítico entre los tres es Craze Micro porque le permite ejecutar código malicioso dentro del proceso del propio antivirus, por lo que básicamente puede omitir cualquier cosa y simplemente puede hacer cosas maliciosas y el anti el virus no lo detectará «.

VER: Informe especial: una estrategia ganadora para la ciberseguridad (PDF gratuito) (TechRepublic Premium)

Craze Micro Maximum Safety está diseñado para proteger dispositivos contra amenazas como ransomware, virus, malware, spy ware y más. Pero la investigación de Hadar encontró que partes del application podrían manipularse y explotarse porque se ejecuta como NT AUTHORITY System, el tipo de cuenta de usuario más privilegiado.

Con esto, los atacantes pueden realizar evasión de defensa, persistencia y, en algunos casos, escalada de privilegios, obteniendo acceso con privilegios de nivel NT AUTHORITY Technique.

Los piratas informáticos pueden ejecutar código malicioso a través de esto porque el ejecutable del servicio está firmado por Development Micro, lo que significa que puede evadir la detección porque se está utilizando como un bypass de lista blanca de aplicaciones.

«No creo que se hayan explotado. Sé que recientemente, se explotó una vulnerabilidad muy similar. Esta clase de vulnerabilidad debe mitigarse», dijo Hadar.

Este defecto se encontró en Development Micro Stability 16..1221 y en todas las versiones anteriores. Se ha lanzado una versión parcheada y Trend Micro lanzó un aviso de seguridad el 25 de noviembre.

En el aviso, los funcionarios dicen que la vulnerabilidad no ha sido explotada, pero «podría permitir a un atacante usar un servicio específico como un mecanismo de ejecución y / o persistencia que podría ejecutar un programa malicioso cada vez que se inicia el servicio».

La falla con el software program Autodesk Desktop Software implica de manera identical el uso malicioso de NT AUTHORITY Technique. Según Hadar, la aplicación de escritorio de Autodesk se instala con los productos de Autodesk basados ​​en Microsoft Windows de 2017 y posteriores. El program se encarga de administrar actualizaciones de productos, nuevas versiones y parches de seguridad para los suscriptores.

No parece que Autodesk haya publicado un aviso de seguridad, pero los funcionarios le dijeron a SafeBreach el 15 de noviembre que enviarían un aviso antes del 26 de noviembre.

Hadar encontró la misma vulnerabilidad con Kaspersky Protected Link, y la compañía lanzó un parche el 21 de noviembre, y envió un aviso el 2 de diciembre.

«El hecho más importante acerca de estos es que pueden permitir que un atacante haga cosas en nombre de la compañía que está dentro del software package», dijo Hadar. «Esto es lo más importante. Cuando un atacante obtiene acceso a una de estas vulnerabilidades, le permite operar bajo el shell de software».

«Si soy un atacante y estoy usando la vulnerabilidad de Kaspersky, una vez que lo hago, otros softwares piensan que soy Kaspersky, así que puedo enmascarar mi actividad maliciosa porque los procesos están firmados», agregó. .

Ver también

Sistema de seguridad de datos Verificación de protección de escudo

Imagen: Getty Images / iStockphoto



Enlace a la noticia authentic