Especialistas en vulnerabilidades informáticas han revelado una nueva técnica con la que es posible explotar una vulnerabilidad para desactivar casi cualquier solución antivirus en sistemas operativos Windows, macOS y Linux. Si bien algunos proveedores de herramientas antivirus implementaron mejoras sustanciales recientemente, la falla ha demostrado ser altamente funcional contra múltiples implementaciones.
Las herramientas antivirus son uno de los principales métodos de protección anti malware, aunque existen múltiples métodos para esquivar esta barrera y comprometer un sistema. A diferencia de otras variantes de ataque, el método presentado por este grupo de especialistas es especialmente sigiloso y puede ayudar a un actor de amenazas a abusar de un sistema informático con facilidad.
Los expertos en vulnerabilidades informáticas de RACK911 Labs mencionan que, cuando un archivo desconocido se guarda en el disco, el antivirus instalado por el usuario realiza un “análisis en tiempo real”, que podría demorar unos segundos o incluso minutos, dependiendo de la herramienta antivirus. Si un archivo es identificado como sospechoso, es puesto en cuarentena o eliminado. Debido a que las herramientas antivirus se ejecutan con altos privilegios en el sistema, los actores de amenaza pueden aprovecharse de esto para explotar algunas fallas de seguridad conocidas.
Según los especialistas, existe una breve ventana de tiempo entre el inicio del análisis y la operación de limpieza del archivo sospechoso que podría ser empleada por un actor de amenazas para desplegar un condición de carrera mediante una función de directorio (en el caso de un SO Windows) o un enlace simbólico (en sistemas macOS y Linux). Esta acción podría explotar las operaciones de archivos privilegiados para deshabilitar el antivirus, o bien interferir con el funcionamiento del sistema operativo para inutilizar la herramienta de seguridad.
Después de realizar algunas pruebas en Windows, macOS y Linux, los expertos en vulnerabilidades informáticas demostraron ser capaces de desactivar y eliminar algunos archivos importantes para el correcto funcionamiento del antivirus, incluso eliminaron algunos archivos importantes para el sistema operativo. A continuación se presenta una lista de los archivos analizados por este equipo y que resultaron ser vulnerables a esta variante de ataque. Los desarrolladores de antivirus afectados han sido notificados, aunque se desconoce cuáles ya han lanzado las correcciones necesarias.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), es altamente posible que estas fallas también estén presentes en los antivirus de otras compañías. Los especialistas publicaron su prueba de concepto, por lo que los desarrolladores de estas herramientas podrán llevar a cabo algunas pruebas de seguridad para determinar si sus productos están expuestos a esta variante de ataque.
Extraido.
No hay comentarios:
Publicar un comentario