Detectada vulnerabilidad que utiliza el antivirus para propagar malware

vulnerabilidad antivirus

Florian Bogner, un investigador de seguridad de Viena (Austria), ha detectado una vulnerabilidad que afecta a distintos programas antivirus que permite que un atacante se haga con el control del ordenador. El fallo de seguridad recibe el nombre de AVGater y de acuerdo con el informe de Bogner ya lo han parcheado algunas firmas, entre ellas Trend Micro, Kaspersky, ZoneAlarm o Malwarebytes, entre otros. 

Lo que hace AVGater es aprovechar la función de cuarentena de las soluciones antivirus para reubicar el malware y obtener el control total de la máquina. El primer punto del proceso consiste en que la víctima recibe un archivo malicioso a través de un correo phishing, que es detectado por el antivirus y movido a la carpeta de cuarentena. 

A continuación, el atacante tiene que tener acceso físico al ordenador que quiere comprometer, aunque no es necesario que tenga permisos de administrador. Una vez en el equipo, lo que hace el criminal es manipular el proceso de restauración abusando de los puntos junction de NTFS, lo que le permite colocar el fichero en cualquier ubicación sensible que desee, como C:\Windows o C:\Archivos de programa. Como consecuencia, el fichero malicioso es cargado por otro proceso para infectar el PC con malware y conceder al atacante todos los permisos.

Protege tu ordenador con los antivirus más vendidos en Amazon España

Bogner descubrió esta vulnerabilidad mientras identificaba debilidades en las redes de sus clientes empresariales. En las pruebas de concepto, este investigador fue capaz de conseguir privilegios locales de administrador utilizando su exploit en diferentes equipos de empleados con permisos limitados, lo que le proporcionó acceso a la base de datos SAM (Single Account Manager) desde la que se pueden crear nuevas cuentas de usuario y de grupo.

¿Estás protegido durante tus operaciones de banca online?

Además de las compañías que ya han parcheado el fallo de seguridad, el experto ha detectado en estos días otros antivirus que son vulnerables a AVGater, pero ya está trabajando con ellos para poner una solución. Bogner no ha revelado cuáles son las marcas afectadas que todavía no han puesto remedio a la vulnerabilidad.

Galería de fotosLos 10 peores virus informáticosver las 10 fotos

[Fuente: Ars Technica]