Hoy en día, tener un programa antivirus no es suficiente para estar seguro, como resulta. Una nueva investigación realizada por la compañía de seguridad Cybellum ha descubierto una grave vulnerabilidad de día cero que permite a los atacantes tomar el control de los programas antivirus instalados en un sistema Windows. De acuerdo con los investigadores, la falla está presente en todas las versiones existentes de Windows, a partir de Windows XP hasta el final hasta a Windows 10 más reciente construcción.
Cybellum dice que el día cero puede tomar "un control total sobre los principales antivirus y antivirus de próxima generación", agregando eso "en lugar de esconderse y huir del antivirus, los atacantes pueden ahora directamente asalto y secuestrar el control sobre el antivirus".
Relacionado: CVE-2016-7855 Bug flash explotado en ataques limitados
El ataque se inició cuando los actores maliciosos inyectar código en el programa de AV, explotando así el día cero de que se trate. La vulnerabilidad y el ataque se desencadena haber sido doblado DoubleAgent, porque resulta agente de seguridad AV del usuario en un agente malicioso, investigadores explican. DoubleAgent da, literalmente, la ilusión de que el AV en su lugar protege el sistema, cuando en realidad que ha sido objeto de abuso por elementos maliciosos.
El ataque se aprovecha de una vulnerabilidad de 15 años de edad. La peor parte es que es todavía ser parcheado por la mayoría de los fabricantes antivirus afectadas, lo que significa que podría ser desplegado en ataques en la naturaleza contra las personas y organizaciones.
Una vez que el atacante ha ganado el control del antivirus, mandará a realizar operaciones maliciosas en nombre del atacante. Debido a que el antivirus se considera una entidad de confianza, cualquier operación maliciosa hecho por ella sería considerada legítima, dando al atacante la posibilidad de pasar por alto todos los productos de seguridad de la organización.
Según los investigadores Cybellum, un número predominante de las principales soluciones AV se ven afectados, tales como Avast, AVG, Avira, Bitdefender, TrendMicro, Cómodo, CASO, Kaspersky, F-Secure, Malwarebytes, McAffee, Panda, Norton, Sanar rapido.
La vulnerabilidad ya ha sido identificado en algunos AV:
- Avast – CVE-2017-5567
- AVG – CVE-2017-5566
- Avira – CVE-2017-6417
- Bitdefender – CVE-2017-6186
- TrendMicro – CVE-2017-5565
¿Cómo funciona DoubleAgent Exploit Trabajo?
La falla se aprovecha de una herramienta legítima ofrecida por Microsoft en Windows y se llama "Microsoft Application Verifier", que está diseñado para ayudar a los desarrolladores a localizar errores en sus aplicaciones. La herramienta puede ser comprometida para tomar el lugar del verificador de serie con una personalizada, destinado a ayudar al atacante en el secuestro de la aplicación.
La compañía ya ha estado en contacto con los fabricantes antivirus afectadas. Desafortunadamente, sólo dos de las compañías han lanzado un parche (Malwarebytes y AVG).
Relacionado: CVE-2017-3881 afecta a más de 300 Cisco Switches
Tristemente, la capacidad de DoubleAgent para inyectar código, incluso después de un reinicio del sistema hace que sea muy difícil de quitar.
Una vez que una técnica de persistencia es bien conocida, Los productos de seguridad actualizar sus firmas en consecuencia. Así que una vez la persistencia es conocida, se puede detectar y mitigada por la seguridad products.Being una nueva técnica de persistencia, El agente doble bypass DE, NGAV y otras soluciones de punto final, y dando una capacidad atacante para llevar a cabo su ataque sin ser detectado sin límite de tiempo.
Los detalles técnicos están disponibles en el blog de Cybellum puesto.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: