Un error en estos 8 antivirus de Windows 10 te pone en riesgo

Investigadores de ciberseguridad revelaron detalles de las vulnerabilidades de seguridad encontradas en las soluciones antivirus populares que podrían permitir a los atacantes elevar sus privilegios, ayudando así al malware a mantener su punto de apoyo en los sistemas comprometidos.

Según un informe publicado por CyberArk Labs, los altos privilegios asociados a menudo con los productos antimalware los hacen más vulnerables a la explotación a través de ataques de manipulación de archivos, lo que da como resultado un escenario en el que el malware obtiene permisos elevados en el sistema.

Los errores impactan en una amplia gama de soluciones antivirus, incluidas las de Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira y Microsoft Defender, cada una de las cuales ha sido corregida por el proveedor respectivo.

La principal de las fallas es la capacidad de eliminar archivos de ubicaciones arbitrarias, lo que permite al atacante eliminar cualquier archivo en el sistema, así como una vulnerabilidad de corrupción de archivos que permite a un mal actor eliminar el contenido de cualquier archivo en el sistema.

Según CyberArk, los errores son el resultado de las DACL predeterminadas (abreviatura de Listas de control de acceso discrecional) para la carpeta «C: \ ProgramData» de Windows, que son las aplicaciones para almacenar datos para usuarios estándar sin necesidad de permisos adicionales.

Dado que cada usuario tiene permiso de escritura y eliminación en el nivel base del directorio, aumenta la probabilidad de una escalada de privilegios cuando un proceso sin privilegios crea una nueva carpeta en «ProgramData» a la que más tarde podría acceder un proceso con privilegios.

De todas las vulnerabilidades descubierta, quizás la más importante es la que permite a un atacante eliminar archivos de cualquier parte del ordenador. El origen del fallo es la Discretionary Access Control Lists (DACL) y la carpeta ProgramData, que se usa por las aplicaciones para almacenar datos de usuarios estándar sin requerir permisos.

Sin embargo, como el usuario tiene permisos para escribir y borrar en el directorio, cuando un proceso sin privilegios crea una carpeta en ProgramData, posteriormente esa carpeta puede usarse por un proceso que sí tenga los privilegios.

Así, un atacante podría ejecutar dos procesos: uno con privilegios y otro sin ellos que compartan el mismo archivo de registro en ProgramData. Con ello, se podría usar el proceso con privilegios para eliminar el archivo de ProgramData y crear un enlace simbólico que puede redirigir a cualquier lugar donde el atacante tenga el archivo con contenido malicioso.