24 abr. 2020

Error en antivirus permitiría infección del sistema

Especialistas de RACK911 Labs mencionan que, cuando un archivo desconocido se guarda en el disco, el antivirus realiza un "análisis en tiempo real", que podría demorar unos segundos o incluso minutos, dependiendo de la herramienta antivirus. Si un archivo es identificado como sospechoso, es puesto en cuarentena o eliminado. Debido a que las herramientas antivirus se ejecutan con altos privilegios en el sistema, los atacantes pueden aprovecharse de esto para explotar algunas fallas de seguridad conocidas.

A diferencia de otras variantes de ataque, el método presentado por este grupo de especialistas es especialmente sigiloso y puede ayudar a un actor de amenazas a abusar de un sistema informático con facilidad.

Según los especialistas, existe una breve ventana de tiempo entre el inicio del análisis y la operación de limpieza del archivo sospechoso que podría ser empleada por un actor malicioso para desplegar un condición de carrera mediante una función de directorio (en el caso de un SO Windows) o un enlace simbólico (en sistemas macOS y Linux). Esta acción podría explotar las operaciones de archivos privilegiados para deshabilitar el antivirus, o bien interferir con el funcionamiento del sistema operativo para inutilizar la herramienta de seguridad.

Después de realizar algunas pruebas en Windows, macOS y Linux, los expertos demostraron ser capaces de desactivar y eliminar algunos archivos importantes para el correcto funcionamiento del antivirus, incluso eliminaron algunos archivos importantes para el sistema operativo. A continuación se presenta una lista de los archivos analizados por este equipo y que resultaron ser vulnerables a esta variante de ataque. Los desarrolladores de antivirus afectados han sido notificados, aunque se desconoce cuáles ya han lanzado las correcciones necesarias.
Los especialistas publicaron su prueba de concepto, por lo que los desarrolladores de estas herramientas podrán llevar a cabo algunas pruebas de seguridad para determinar si sus productos están expuestos a esta variante de ataque.

Fuente: Rack911

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!