Una investigación recientemente realizada por los especialistas en análisis de vulnerabilidades de la firma de seguridad SafeBreach Labs ha revelado la presencia de una vulnerabilidad en el software de la herramienta antivirus Avira 2019. Identificada como CVE-2019-17449, esta vulnerabilidad podría haber sido utilizada para evadir las defensas del sistema objetivo, ganar persistencia y realizar escaladas de privilegios cargando una biblioteca de enlace dinámico (DLL) arbitraria sin certificado digital.
Los expertos realizaron las pruebas en el servicio Avira ServiceHost, que es el servicio de Avira Launcher. Este es un proceso firmado que se ejecuta como NT AUTHORITY/SYSTEM y es la primera parte del programa instalado después de que el usuario hace doble clic en el instalador, por lo que es una pieza de software popular.
Acorde a los expertos en análisis de vulnerabilidades, cuando se inicia, Avira.ServiceHost.exe intenta cargar la biblioteca Windtrust.dll faltante desde su propio directorio:
Por lo general, los productos de Avira restringen las modificaciones en cualquier carpeta (como agregar o modificar archivos, etc.) usando un controlador de mini filtro que aplica una política de sólo lectura a cualquier usuario, incluyendo al administrador de sistemas. A pesar de esta restricción, los especialistas siguieron adelante con las pruebas para determinar si era posible una modificación.
En su informe, los especialistas en análisis de vulnerabilidades de SafeBreach Labs compilaron una DLL arbitraria x86 que escribe en el nombre de archivo de un archivo de texto lo que se muestra a continuación:
- El nombre del proceso que lo cargó
- El nombre de usuario que lo ejecutó
- El nombre del archivo DLL
Antes de reiniciar la computadora, los expertos colocaron el archivo en la ruta C:\Program Files (x86)\Avira\Launcher\Wintrust.dll. “Logramos cargar una DLL arbitraria y ejecutar nuestro código dentro de Avira.ServiceHost.exe, que fue firmado por “Avira Operations GmbH & Co. KG” y ejecutado como NT AUTHORITY\SYSTEM”, añaden los expertos.
También fue posible replicar este proceso en otros servicios de Avira, como:
- Avira System Speedup
- Avira Software Updater
- Avira Optimizer Host
Posibles escenarios de ataque
Según lo planteado en el informe de SafeBreach, los expertos en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) plantearon al menos tres posibles ataques:
- Evasión de autodefensa: Por lo general, un software antivirus cuenta con un mecanismo de autodefensa que evita que los actores de amenazas alteren sus procesos y archivos, principalmente gracias al uso de un controlador de mini filtro. De ser explotada, esta vulnerabilidad permitiría a un hacker esquivar parte de este mecanismo y cargar una DLL arbitraria en el proceso de la herramienta antivirus
- Ejecución firmada/Evasión de whitelist: Explotando esta falla un hacker podría cargar y ejecutar cargas maliciosas en el contexto de cualquier proceso firmado por la compañía, lo que permitiría ejecutar aplicaciones etiquetadas como maliciosas, entre otras tareas
- Mecanismo de persistencia: De ser explotada, esta vulnerabilidad brinda a los hackers la capacidad de cargar y ejecutar cargas maliciosas de forma persistente. En otras palabras, cuando un actor de amenazas entrega una DLL maliciosa, los servicios de Avira cargarán el código maligno cada vez que se reinicie el sistema
La compañía fue notificada debidamente sobre la vulnerabilidad. En respuesta a la presencia de esta falla, Avira ha lanzado una actualización de sus servicios de Windows, que consiste en una capa de seguridad adicional.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad