Detectada vulnerabilidad que utiliza el antivirus para propagar malware

Share this…

Florian Bogner, un investigador de seguridad de Viena (Austria), ha detectado una vulnerabilidad que afecta a distintos programas antivirus que permite que un atacante se haga con el control del ordenador. El fallo de seguridad recibe el nombre de AVGater y de acuerdo con el informe de Bogner ya lo han parcheado algunas firmas, entre ellas Trend Micro, Kaspersky, ZoneAlarm o Malwarebytes, entre otros. 

Lo que hace AVGater es aprovechar la función de cuarentena de las soluciones antiviruspara reubicar el malware y obtener el control total de la máquina. El primer punto del proceso consiste en que la víctima recibe un archivo malicioso a través de un correo phishing, que es detectado por el antivirus y movido a la carpeta de cuarentena.

A continuación, el atacante tiene que tener acceso físico al ordenador que quiere comprometer, aunque no es necesario que tenga permisos de administrador. Una vez en el equipo, lo que hace el criminal es manipular el proceso de restauración abusando de los puntos junction de NTFS, lo que le permite colocar el fichero en cualquier ubicación sensible que desee, como C:\Windows o C:\Archivos de programa. Como consecuencia, el fichero malicioso es cargado por otro proceso para infectar el PC con malware y conceder al atacante todos los permisos.

Bogner descubrió esta vulnerabilidad mientras identificaba debilidades en las redes de sus clientes empresariales. En las pruebas de concepto, este investigador fue capaz de conseguir privilegios locales de administrador utilizando su exploit en diferentes equipos de empleados con permisos limitados, lo que le proporcionó acceso a la base de datos SAM (Single Account Manager) desde la que se pueden crear nuevas cuentas de usuario y de grupo.

Además de las compañías que ya han parcheado el fallo de seguridad, el experto ha detectado en estos días otros antivirus que son vulnerables a AVGater, pero ya está trabajando con ellos para poner una solución. Bogner no ha revelado cuáles son las marcas afectadas que todavía no han puesto remedio a la vulnerabilidad.

Fuente:https://computerhoy.com/noticias/software/detectada-vulnerabilidad-que-utiliza-antivirus-propagar-malware-71107