Avast desactiva el motor de JavaScript en su antivirus después de un mistake importante


Avast

Imagen: Avast

El fabricante checo de antivirus Avast ha dado el paso extremo de deshabilitar un componente importante de su producto antivirus después de que un investigador de seguridad descubriera una vulnerabilidad peligrosa que ponía en riesgo a todos los usuarios de la compañía.

La falla de seguridad se encontró en el motor JavaScript de Avast, un componente interno del antivirus Avast que analiza el código JavaScript en busca de malware antes de permitir que se ejecute en navegadores o clientes de correo electrónico.

«A pesar de ser altamente privilegiado y de procesar datos no confiables por diseño, no tiene caja y tiene una cobertura de mitigación deficiente», dijo Tavis Ormandy, investigador de seguridad de Google.

«Cualquier vulnerabilidad en este proceso es crítica y de fácil acceso para los atacantes remotos», dijo Ormandy el lunes cuando también lanzó una herramienta que solía analizar el antivirus de la compañía.

La explotación fue trivial

La explotación de este tipo de error es trivial. Todo lo que se necesitaría es enviar a un usuario un archivo JS o WSH malicioso por correo electrónico, o engañar a un usuario para que acceda a un archivo atrapado con código JavaScript malicioso.

Ormandy argumenta que una vez que el antivirus Avast descargue y ejecute el código JavaScript malicioso dentro de su propio motor personalizado, las operaciones maliciosas podrían ejecutarse en la computadora del usuario, con acceso a nivel de SISTEMA.

Por ejemplo, al usar este mistake, los atacantes tendrían la capacidad de instalar malware en el dispositivo de un usuario de Avast.

Avast notificado la semana pasada

Si bien Avast supo del mistake durante casi una semana, la compañía aún no había solucionado el problema y, hoy temprano, decidió deshabilitar las capacidades de escaneo de JavaScript de su antivirus hasta que un parche estuviera listo.

Contactada por ZDNet para hacer comentarios, la compañía checa proporcionó la siguiente declaración sobre la serie de eventos que llevaron a la drástica medida de hoy.

«El pasado miércoles 4 de marzo, el investigador de vulnerabilidades de Google Tavis Ormandy nos informó de una vulnerabilidad que afecta a uno de nuestros emuladores. La vulnerabilidad podría haberse abusado potencialmente para llevar a cabo la ejecución remota de código.

El 9 de marzo, lanzó una herramienta para simplificar enormemente el análisis de vulnerabilidad en el emulador.

Hemos solucionado esto deshabilitando el emulador, para garantizar que nuestros cientos de millones de usuarios estén protegidos de cualquier ataque. Esto no afectará la funcionalidad de nuestro producto AV, que se basa en múltiples capas de seguridad«.

No hay una línea de tiempo genuine para cuándo un parche estaría listo.

Ormandy descubrió el error del antivirus Avast usando una herramienta que desarrolló en 2017 que le permite portar archivos DLL de Windows a Linux, donde el difuminado automatizado y otras pruebas de seguridad se pueden llevar a cabo más fácilmente.



Enlace a la noticia first