31 jul. 2014

Investigación de múltiples vulnerabilidades en antivirus

Un investigador de seguridad reveló en la conferencia de SyScan 360 en Beijing que varios de los productos antivirus más populares tienen vulnerabilidades que pueden ser explotadas de forma local o remota.

Joxean Koret, investigador de la empresa de seguridad con sede en Singapur COSEINC, probó 17 motores antivirus [PDF], 14 de los cuales eran vulnerables a distintos tipos de ataques. Entre los afectados estaban Avast, AVG, Avira, Bitdefender, ClaimAV, Comodo, Dr.Web, ESET, Ikarus eScan, F-Secure, Sophos, Bkav y Panda Security.

Koret señaló varios factores que hacen a los antivirus más vulnerables, entre ellos el hecho de que la mayoría son escritos en C y C++, lo puede conducir a fallos comunes de desbordamientos de buffer; se ejecutan con privilegios altos, que podría conducir a la ejecución de exploits; soportan un gran número de formatos de archivo, lo que podría dar lugar a errores en los programas de análisis; y las actualizaciones se realizan a través de HTTP, lo que los deja expuestos a ataques Man-in-the-Middle.

"El software antivirus en general no protege adecuadamente los sistemas contra ataques sofisticados. Por el contrario, en algunos casos, aumenta la superficie de ataque por lo que incluso los usuarios podrían ser más vulnerables", explicó el experto sostuvo.

El investigador encontró muchas de las vulnerabilidades a través de la técnica de prueba de software llamada fuzzing, y mediante la realización de controles locales y remotos básicos del protocolo de actualización, servicios de red, ASLR y listas de control de acceso.

La lista de los agujeros de seguridad detectados incluye un desbordamiento de Heap en Avast, AVG, Comodo, múltiples vulnerabilidades remotas de Avira, Bitdefender y Dr.Web, un desbordamiento de entero en ESET, múltiples escalamiento de privilegios locales en Panda, y múltiples inyecciones de comandos en eScan.

Algunos de los defectos encontrados por Koret ya han sido abordados por las empresas antivirus, pero algunos de ellos permanecen sin tratamiento. El experto sólo ha informado de sus conclusiones a Avast, porque la empresa tiene un programa de recompensas; a ClamAV, debido a que su antivirus es de código abierto; a Panda, porque tiene "amigos" allí; y con Ikarus, ESET y F-Secure, ya que se pusieron en contacto él.

Como corolario, Joxean Koret ha publicado un scanner MultiAV desarrollado en Python que permite analizar archivos y directorios con múltiples motores antivirus y de forma simultánea.

Fuente: Security Week

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!