DoubleAgent: ataque de día-cero que convierte soluciones antivirus en malware

Share this…

La firma de seguridad informática Cybellum ha descubierto una vulnerabilidad de día-cero o zero day que puede permitir un ataque que convierta nuestra solución antivirus en un agente propagador de malware. El ataque fue llamado “Double Agent” (Agente Doble), y afecta a todas las versiones de Windows desde XP.

La vulnerabilidad afecta a una lista de los programas antivirus más conocidos, a saber:

  • Avast (CVE-2017-5567)
  • AVG (CVE-2017-5566)
  • Avira (CVE-2017-6417)
  • Bitdefender (CVE-2017-6186)
  • Trend Micro (CVE-2017-5565)
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • Malwarebytes
  • McAfee
  • Panda
  • Quick Heal
  • Norton

Las respectivas empresas de seguridad aún no han liberado un parche para resolver el problema.

DoubleAgent se aprovecha de una de las herramientas presentes en el sistema operativo Windows, llamada “Microsoft Application Verifier” (Verificador de Aplicaciones Microsoft), que se encarga de encontrar y resolver fallos en los programas que ejecuta Windows. Un atacante podría reemplazar esta herramienta por una versión maliciosa que cambie su misión de corregir fallos, por la de alterar el comportamiento de aplicaciones como los antivirus, de modo de convertirlos en agentes de malware.

El Verificador de aplicaciones podría ser modificado para alterar a cualquier aplicación de Windows, pero Cybellum consideró que el problema es más grave con los antivirus, debido a que corren con altos privilegios de acceso y el sistema considera que las acciones que llevan a cabo son confiables.

Al alterarse el antivirus, la seguridad de informática de las computadoras y de sus propietarios queda totalmente vulnerada. El antivirus podría instalar puertas traseras para accesos no deseado, instalar ransomware u organizar ataques DDoS.

Cybellum ha informado oportunamente a las empresas de software que tienen antivirus vulnerables, para que procedan a desarrollar soluciones. Afortunadamente, desde la versión de Windows 8.1, Microsoft ha incorporado un concepto nuevo para los desarrolladores de seguridad, llamado “Procesos Protegidos”, que protege a los antivirus contra ataques de inyección de código. De este modo, aunque alguien desarrolle un ataque de Día Cero contra el antivirus, no podría lograr nada porque su código no tendría firma de seguridad. La mala noticia es que el único antivirus que actualmente ha implementado este mecanismo es Windows Defender.

 Fuente:https://www.tekcrispy.com