Global Preloader
Vulnerabilidad
(23/Oct/2019) Vulnerabilidad en Avast, AVG y Avira hace posible el secuestro de DLL

Vulnerabilidad en Avast, AVG y Avira hace posible el secuestro de DLL

Los investigadores de seguridad de SafeBreach Labs descubrieron vulnerabilidades en Avast Antivirus, AVG Antivirus y Avira Antivirus que podrían permitir que un atacante cargue un archivo DLL malicioso en un esfuerzo por eludir las defensas y escalar privilegios.

Identificado como CVE-2019-17093, impacta todas las versiones de Avast Antivirus y AVG Antivirus: AVG es una subsidiaria de Avast y las aplicaciones comparten el código central: se podría abusar de la primera falla de seguridad para lograr lo que SafeBreach describe como bypass de autodefensa, evasión de defensa, persistencia y escalación de privilegios. La explotación del error requiere privilegios administrativos, pero podría llevar a cargar una DLL maliciosa en múltiples procesos que se ejecutan como NT AUTHORITY \ SYSTEM.

Los investigadores descubrieron que AVGSvc.exe, un AM-PPL (Luz de proceso protegido contra malware), intenta cargar una DLL al inicio, pero busca el archivo en la carpeta incorrecta. Debido a los mecanismos de protección dentro de las aplicaciones antivirus, escribir una DLL en una de las carpetas de la aplicación está prohibido incluso para los administradores. Sin embargo, este mecanismo de autodefensa puede pasarse por alto escribiendo un archivo DLL en una carpeta desprotegida desde la cual la aplicación carga componentes.

Para aprovechar la vulnerabilidad, los investigadores de seguridad compilaron una DLL proxy sin firmar del original. Luego, colocaron la DLL en C: \ Archivos de programa \ System32 \, donde el software antivirus busca una DLL con el mismo nombre, lo que resultó en que el archivo se cargara con los privilegios del SISTEMA. Se descubrió que el problema afecta todas las ediciones de Avast Antivirus y AVG Antivirus menores a la versión 19.8. Se lanzó un parche el 26 de septiembre.