A pesar de que Microsoft convierte a Windows Defender en un producto de seguridad más avanzado, las herramientas antivirus de terceros aún son consideradas por muchos herramientas imprescindibles para evitar que el malware comprometa a los ordenadores. Ningún sistema está exento de sufrir un ataque informático y el de Microsoft es donde más centran sus esfuerzos los hackers.
Los antivirus pueden ser pirateados
Pero resulta que instalar una protección antivirus puede ser un arma de doble filo, ya que una vulnerabilidad de seguridad en dicho software puede permitir que los ciberdelincuentes abusen de la restauración de la opción de cuarentena y, al final, infecten el dispositivo de destino.
El investigador de seguridad Florian Bogner ha descubierto la vulnerabilidad en el motor de varios productos antivirus, y como explicó en un análisis en profundidad, hace posible que los atacantes simplemente muevan un archivo en cuarentena infectado con malware a una ubicación sensible en las unidades locales donde puede generar más daño.
Su demostración se redujo a un ataque de phishing que fue bloqueado por el software antivirus cuando se detectó la muestra de malware. Con el archivo movido a la cuarentena, la vulnerabilidad que él llamó AVGater permitió obtener acceso sin privilegios al contenido que ha sido marcado como infectado.
Deshabilitar la restauración de archivos de la cuarentena
Al apropiarse de los servicios de Windows como las uniones de dirección NTFS y el orden de búsqueda de la biblioteca de vínculos dinámicos, pudo transferir un archivo infectado de la cuarentena a una ubicación sensible en el disco duro.
Bogner dice que varios proveedores de antivirus grandes se han visto afectados por la vulnerabilidad, y algunos ya han lanzado parches, incluidos Trend Micro, Emsisoft, Malwarebytes, Kaspersky y ZoneAlarm. Otros les seguirán pronto, pero no se proporcionaron otros detalles ya que las empresas están trabajando en parches.
AVGater requiere acceso local al sistema de destino, lo que significa que la vulnerabilidad no se puede explotar de forma remota. Un ataque exitoso, sin embargo, puede llevar a un atacante a obtener el control total sobre el sistema, advierte.
No hace falta decir que la mejor manera para que los usuarios permanezcan seguros es instalar las versiones más recientes de software antivirus. Pero Bogner también recomienda a los administradores que deshabiliten la restauración de la funcionalidad de cuarentena hasta que se implementen los parches.
Como siempre decimos, la seguridad de nuestros equipos es fundamental para el buen funcionamiento. Contar con un buen software de seguridad y perfectamente actualizado es la mejor manera para poder hacer frente a posibles amenazas externas.
Los ataques de malware, por desgracia, han aumentado notablemente en los últimos tiempos. La variedad es importante. Podemos encontrar también muchas formas en las que se puede infectar un equipo. Por ello hay que contar con un buen antivirus. Pero además también es muy importante el sentido común. La gran mayoría del malware entra a través de la acción del usuario. Es decir, requiere que demos clic en algún lugar o instalemos alguna aplicación infectada.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad