Global Preloader
Vulnerabilidad
(14/Nov/2017) Fallas en Antivirus Quarantine permiten escalación de privilegios

Fallas en Antivirus Quarantine permiten escalación de privilegios

Varios productos antivirus populares se ven afectados por un tipo de vulnerabilidad que permite a un atacante escalar privilegios en un sistema comprometido al abusar de la función de cuarentena, advirtió un investigador el viernes.

Una vez que un atacante ingresa en un sistema, es posible que deban obtener de alguna forma privilegios más altos para acceder a información que les permita moverse lateralmente dentro de la red.

Florian Bogner, auditor de seguridad de la información en Kapsch, con sede en Austria, afirma haber descubierto una nueva forma de lograr esto: abusar de la función de cuarentena de algunos antivirus.

El método de ataque, apodado por el investigador AVGater, se basa en una combinación de defectos y técnicas conocidas.

Un ataque comienza con un archivo DLL malicioso que el software antivirus pone en cuarentena. El atacante abusa del proceso de Windows de la aplicación de seguridad, que generalmente tiene permisos de SISTEMA, para restaurar el archivo. Sin embargo, el archivo DLL malicioso no se restaura en su ubicación original, sino en una carpeta diferente desde la que se inicia un proceso privilegiado, como Archivos de programa o carpetas de Windows, y donde los archivos no pueden ser escritos por un usuario con privilegios limitados.

Escribir el archivo restaurado en cualquier lugar del sistema es posible debido a las uniones, un tipo de enlace de archivo compatible con el sistema de archivos NTFS. Las uniones son representaciones del sistema de archivos que se pueden usar para vincular directorios.

Una vez que el DLL malicioso se coloca en la carpeta de destino, el proceso de Windows privilegiado asociado con esa carpeta lo ejecutará en lugar del archivo legítimo debido a cómo funciona el orden de búsqueda de DLL: Windows primero busca un archivo DLL en el directorio desde el que se ejecuta la aplicación.

Se confirmó que la vulnerabilidad afecta a los productos de Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, Check Point (ZoneAlarm) e Ikarus. El software de otros proveedores también se ve afectado, pero sus nombres solo se divulgarán después de que se publiquen los parches.

Bogner ha realizado dos publicaciones de blog separadas que detallan la explotación contra los productos Emsisoft y Malwarebytes. En estos ejemplos, el atacante podría haber colocado la DLL maliciosa en el directorio asociado a estos productos de seguridad para que el Servicio de Protección Emsisoft y el proceso del Servicio Malwarebytes, respectivamente, carguen el malware en lugar de la librería legítima.

El investigador no especificó cuándo se notificó a otros proveedores de antivirus, pero Emsisoft y Malwarebytes fueron informados a finales de 2016 y principios de 2017 y lanzaron parches en una semana.

Bogner señaló que la vulnerabilidad de AVGater solo puede explotarse si el usuario cuya cuenta se ha visto comprometida puede restaurar los archivos en cuarentena. Es por eso que ha aconsejado a las organizaciones que se aseguren de que los usuarios regulares no puedan completar tales operaciones.

Al igual que con cualquier otro software, los productos de seguridad también pueden tener vulnerabilidades graves que podrían ser explotadas por los agentes de amenazas. Los expertos también advirtieron que los antivirus no solo pueden aumentar la superficie de ataque, sino también debilitar la seguridad de HTTPS.