El equipo de seguridad de la firma CyberArk Labs reveló una investigación en la que se encontraron múltiples vulnerabilidades de seguridad en diversas soluciones antivirus. El abuso de estas debilidades podría permitir a los actores de amenazas infectar con los sistemas afectados.
Cabe recordar que las soluciones antivirus requieren altos privilegios para su ejecución, por lo que la explotación de cualquiera de estas fallas permitiría a los hackers maliciosos obtener permisos elevados para desplegar ataques posteriores. Acorde al reporte, estas fallas afectan a toda clase de desarrolladores de soluciones anti malware como Kaspersky, McAfee, Fortinet, Symante, Check Point, entre otros. La mayoría de estas compañías ya han corregido estas fallas.
Una de las principales causas de estas fallas son las DACL predeterminadas del directorio C:\ProgramData. En los sistemas Windows, las aplicaciones utilizan el directorio ProgramData para almacenar datos, por lo que cualquier usuario tiene permisos de lectura y escritura en ProgramData en lugar de %LocalAppData%, al que puede acceder el usuario que ha iniciado sesión actualmente.
Un actor de amenazas podría explotar estas fallas para eliminar archivos de ubicaciones arbitrarias, además de la posibilidad de realizar una escalada de privilegios cuando un proceso no privilegiado crea una carpeta en ProgramData a la que se podría acceder vía una solución antivirus vulnerable. La lista de todas las soluciones afectadas se muestra a continuación:
- Kaspersky
- McAfee
- Symantec
- Fortinet
- Check Point
- Trend Micro
- Avira
- Microsoft
- Avast + F-Secure
Los expertos también mencionaron que, en el caso del antivirus McAfee, el instalador se ejecuta luego de crear la carpeta “McAfee”, por lo que el usuario estándar tiene control total sobre el directorio, en otras palabras, el usuario local podría obtener permisos elevados a través de un ataque de enlace simbólico. Los expertos también informaron fallas de secuestro de DLL en Trend Micro, Fortinet y otras soluciones antivirus que podrían permitir a los atacantes ejecutar una DLL maliciosa después de colocarla en el directorio de la aplicación y elevar los privilegios.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.