DoubleAgent: ataque de día-cero que convierte soluciones antivirus en malware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/doubleagent-ataque-de-dia-cero-que-convierte-soluciones-antivirus-en-malware/
TAGS: Cybellum, DDoS, DoubleAgent, Malware
La firma de seguridad informática Cybellum ha descubierto una vulnerabilidad de día-cero o zero day que puede permitir un ataque que convierta nuestra solución antivirus en un agente propagador de malware. El ataque fue llamado “Double Agent” (Agente Doble), y afecta a todas las versiones de Windows desde XP.

La vulnerabilidad afecta a una lista de los programas antivirus más conocidos, a saber:

  • Avast (CVE-2017-5567)
  • AVG (CVE-2017-5566)
  • Avira (CVE-2017-6417)
  • Bitdefender (CVE-2017-6186)
  • Trend Micro (CVE-2017-5565)
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • Malwarebytes
  • McAfee
  • Panda
  • Quick Heal
  • Norton

Las respectivas empresas de seguridad aún no han liberado un parche para resolver el problema.

DoubleAgent se aprovecha de una de las herramientas presentes en el sistema operativo Windows, llamada “Microsoft Application Verifier” (Verificador de Aplicaciones Microsoft), que se encarga de encontrar y resolver fallos en los programas que ejecuta Windows. Un atacante podría reemplazar esta herramienta por una versión maliciosa que cambie su misión de corregir fallos, por la de alterar el comportamiento de aplicaciones como los antivirus, de modo de convertirlos en agentes de malware.

El Verificador de aplicaciones podría ser modificado para alterar a cualquier aplicación de Windows, pero Cybellum consideró que el problema es más grave con los antivirus, debido a que corren con altos privilegios de acceso y el sistema considera que las acciones que llevan a cabo son confiables.

Al alterarse el antivirus, la seguridad de informática de las computadoras y de sus propietarios queda totalmente vulnerada. El antivirus podría instalar puertas traseras para accesos no deseado, instalar ransomware u organizar ataques DDoS.

Cybellum ha informado oportunamente a las empresas de software que tienen antivirus vulnerables, para que procedan a desarrollar soluciones. Afortunadamente, desde la versión de Windows 8.1, Microsoft ha incorporado un concepto nuevo para los desarrolladores de seguridad, llamado “Procesos Protegidos”, que protege a los antivirus contra ataques de inyección de código. De este modo, aunque alguien desarrolle un ataque de Día Cero contra el antivirus, no podría lograr nada porque su código no tendría firma de seguridad. La mala noticia es que el único antivirus que actualmente ha implementado este mecanismo es Windows Defender.

Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/doubleagent-ataque-de-dia-cero-que-convierte-soluciones-antivirus-en-malware/

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s