Una nueva investigación encuentra errores en todos los programas anti-malware …



Los productos de todos los proveedores tenían problemas que permitían a los atacantes elevar los privilegios en un sistema, si ya lo tenían.

La mayoría de las herramientas de seguridad que las organizaciones utilizan para defenderse de los ataques de malware son en sí mismas vulnerables a las vulnerabilidades que permiten a los atacantes escalar los privilegios en un sistema comprometido, según un nuevo estudio de CyberArk.

CyberArk probó productos de varios proveedores de seguridad importantes, incluidos Kaspersky, Symantec, Pattern Micro, McAfee y Look at Stage Application Systems, y dice que encontró vulnerabilidades en cada uno de ellos.

Los errores que CyberArk informó a los proveedores, que desde entonces los parchearon, incluyen tres en los productos de detección y eliminación de malware de Kaspersky dos en la cartera de McAfee uno de cada uno en productos de Symantec, Fortinet y CheckPoint y cinco en productos de Development Micro. CyberArk también descubrió vulnerabilidades en productos de Microsoft, Avast y Avira, entre otros.

Con todas las vulnerabilidades, un atacante ya necesitaría tener acceso neighborhood a un sistema para poder explotarlas. Los investigadores de seguridad a menudo no consideran que estos errores sean tan críticos como los que permiten la ejecución remota no autenticada.

Eran Shimony, el investigador de CyberArk que descubrió los defectos, dice que las vulnerabilidades identificadas en la investigación de la compañía comparten la misma causa raíz: el uso incorrecto de los recursos del sistema cuando una aplicación se ejecuta en un contexto privilegiado. Según Shimony, todos los productos de seguridad que CyberArk probó eran vulnerables al secuestro de DLL, una técnica en la que los atacantes esencialmente cargan un archivo malicioso en un proceso privilegiado.

«Al hacer eso, pudimos ejecutar código dentro de la función DLLMain, que luego se ejecuta inmediatamente después de cargar la DLL, lo que permite la ejecución de código dentro de una aplicación privilegiada», explica.

La segunda vulnerabilidad involucró un método para engañar a las aplicaciones privilegiadas para que apunten a un archivo diferente mientras realizan una operación de lectura, escritura o eliminación, dice Shimony.

«Esto nos permite alterar el contenido de los archivos protegidos, como los que utiliza el sistema operativo», dice.

El investigador de seguridad dice que dos errores fueron evidentes en cada producto que CyberArk probó. El primero fue el fracaso de los proveedores para evitar que las aplicaciones de seguridad, que casi siempre se ejecutan en un contexto privilegiado en un sistema, cargaran archivos DLL desde ubicaciones inseguras sin verificar si estaban firmadas digitalmente.

«Si los proveedores cambian la forma en que la aplicación intenta cargar archivos DLL, ya sea utilizando rutas absolutas o aplicando firmas digitales, el problema no existiría», dice.

El segundo problema que Shimony dice que descubrió fue el intercambio de recursos entre aplicaciones con privilegios altos y bajos.

«Si una aplicación con pocos privilegios accede a un recurso, como un archivo de registro al que accede un servicio para realizar operaciones de escritura, el servicio debe ejecutar la operación de escritura en el contexto de la aplicación con pocos privilegios», dice. De lo contrario, un usuario malintencionado podría aprovechar el problema para escalar los privilegios en el sistema.

Respuesta del proveedor
Dos de los proveedores afectados con los que Dim Looking at se puso en contacto dicen que abordaron los problemas que CyberArk descubrió en sus productos.

Un portavoz de Kaspersky describió el martes las vulnerabilidades que CyberArk descubrió como habilitantes de ataques locales, o exploits que son posibles solo después de que un atacante ya tiene acceso autenticado a un sistema. Algunos de ellos también pueden explotarse solo durante la etapa de instalación del producto, dijo la compañía.

De las tres vulnerabilidades de sus productos, una (CVE-2020-25045) habilita la escalada de privilegios, otro (CVE-2020-25044) permite que un atacante elimine el contenido de cualquier archivo en el sistema comprometido, y el tercero (CVE-2020-25043) permitiría a un atacante eliminar archivos completos en cualquier sistema vulnerable. La lista de productos Kaspersky afectados incluye versiones de su producto VPN Protected Link anteriores a la 5., Kaspersky Virus Elimination Software anteriores a la 15..23. y Kaspersky Safety Heart anteriores a la 12.

«Recomendamos que nuestros usuarios verifiquen la versión de la aplicación que están ejecutando actualmente e instalen las últimas actualizaciones», dijo el portavoz de Kaspersky en un comunicado.

Jon Clay, director de comunicaciones de amenazas globales de Craze Micro, dice que su empresa corrigió las fallas en diciembre de 2019.

«Estas vulnerabilidades recibieron una clasificación de gravedad media», dice Clay, señalando que se necesitaría acceso a la máquina para eliminar la carga útil DLL maliciosa y escalar los privilegios. «Debido a la necesidad de acceso directo a una máquina víctima, estos no serían fáciles de explotar».

Los errores que Shimony descubrió eran fáciles de parchear y, en algunos casos, solo requerían «un pequeño retoque en el código», agrega.

«La mejor medida que pueden tomar las organizaciones es (asegurarse de tener) las últimas actualizaciones instaladas y asegurarse de que todos los programas privilegiados estén completamente parcheados», dice Shimony. «Los atacantes podrían utilizar estas técnicas para aumentar los privilegios, por lo que es fundamental garantizar que todas las cuentas con privilegios estén debidamente protegidas».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique