Vulnerabilidad permite tomar control de los antivirus

En un estudio realizado a los sistemas operativos Windows (desde la versión XP hasta la reciente versión Windows 10) y a diferentes fabricantes de antivirus, se descubrió que una herramienta legitima de Microsoft de nombre “Application Verifier” utilizada por desarrolladores para detectar errores de código y funcionamiento en aplicaciones, presenta una vulnerabilidad que permite inyectar códigos DLL maliciosos en cualquier programa mediante el uso de un ataque llamado Double Agent, lo que le permitiría tomar control de los sistemas operativos y de las soluciones antivirus.

Sabía usted que:

Al momento de realizarse el estudio y encontrar la vulnerabilidad, el proveedor de seguridad Cybellum indicó haber notificado a todos los fabricantes de antivirus acerca de la vulnerabilidad con el fin de que estos tomen acción y emitan un parche que pueda resolver dicha vulnerabilidad.

¿ Cómo funciona Double Agent?

 

Double Agent explota una herramienta legitima de Windows llamada “Microsoft Application Verifier” la cual es una herramienta incluida en todas las versiones de Windows y es utilizada como una herramienta de verificación en tiempo de ejecución para descubrir y corregir errores en las aplicaciones. Los resultados encontrados por el proveedor de seguridad Cybellum indican que un atacante puede obtener la habilidad de cambiar el Application Verifier estándar y modificarlo por uno personalizado pudiendo inyectar dicho Application Verifier en cualquier aplicación, esto le permite tener control total de la aplicación.

s

Mitigación

Microsoft ha proporcionado un nuevo concepto de diseño para los proveedores de antivirus llamado “Protected Processes”, dicho concepto es especialmente diseñado para servicios de antivirus ya que pueden ser creados como procesos protegidos y esto hará que a la hora de cargar archivos de código solo se permita cargar archivos de origen confiable que estén firmados y que establezcan un marco para una defensa integrada en contra de ataques de inyección de código.

¿Qué dicen los fabricantes?

 

Varias de las marcas conocidas mundialmente se pronunciaron frente al descubrimiento realizado por el proveedor de seguridad Cybellum, allí varios de los fabricantes tuvieron oportunidad de informar a la opinión pública que la vulnerabilidad Double Agent no afecta sus sistemas, entre los que indicaron esta conclusión se encuentran fabricantes tales como Comodo, Norton, Avast Avira quienes indican que sus sistemas no llegan a verse comprometidos por la PoC realizada por Cybellum.

Mientras tanto algunos  fabricantes  como Kaspersky agradecen al proveedor de seguridad por haber descubierto y reportado dicha vulnerabilidad indicando así mismo que tomaran correctivos en el asunto.

Los puntos de vista encontrados de varios de los fabricantes y de los expertos en ciberseguridad no dejan sin embargo de suscitar una gran controversia, ya que especialistas en el tema se atreven a indicar que dicha vulnerabilidad es algo que ya se había descubierto y existía desde hacía  algunas décadas, mencionando el caso puntual del experto Alex Ionescu de quien se menciona habría acusado a la consultora Cybellum de haber robado su trabajo de investigación acerca de este tema.

Algunos fabricantes no se han pronunciado acerca del tema para conocer su punto de vista y saber si dicha vulnerabilidad es efectiva en sus sistemas de antivirus o no, por lo que pronto estaremos indicando nuevas noticias  del tema.

 

Respuesta de  Intel Security McAfee

Z

Recomendaciones

Actualmente es importante tener un mayor nivel de consciencia con respecto a las amenazas que rodean nuestro entorno y que pueden llegar a afectar nuestras organizaciones, con el fin de entender que en muchas ocasiones simplemente una solución antivirus no puede ayudarnos a proteger la seguridad de nuestros equipos, por lo que como recomendación siempre es importante tener en cuenta un segundo nivel de protección en los equipos tales como soluciones de prevención de intrusos a nivel de host (HIPS) o software de control de aplicaciones.