Revelan una vulnerabilidad que permite eliminar archivos arbitrarios con la mayoría de los programas antivirus
(rack911labs.com)Se ha dado a conocer una vulnerabilidad que permite eliminar archivos arbitrarios al abusar a la inversa del mecanismo con el que los programas antivirus ponen en cuarentena archivos maliciosos. (En inglés) Esta vulnerabilidad fue descubierta en el otoño de 2018 por el departamento de seguridad de la empresa de hosting RACK911, y según se informa, los principales desarrolladores de antivirus ya la corrigieron.
Esta vulnerabilidad aprovecha básicamente que existe un pequeño retraso entre el momento en que la función de monitoreo en tiempo real del antivirus detecta un archivo malicioso y el momento en que lo pone en cuarentena, además de las funciones de enlace de archivos/directorios del sistema de archivos (en Linux o macOS, Symbolic link; en Windows, Directory Junction). En pocas palabras, se prepara intencionalmente un archivo que active la función de monitoreo en tiempo real del antivirus (por ejemplo, el archivo de prueba EICAR); cuando el antivirus lo detecta, antes de que sea puesto en cuarentena se lo elimina y se lo reemplaza discretamente por un enlace simbólico al archivo que se quiere borrar. Entonces el antivirus terminará moviendo a cuarentena un archivo perfectamente normal. Si ese archivo puesto en cuarentena fuera un archivo importante del sistema operativo, eso se convertiría en un ataque de denegación de servicio contra el sistema; y si fuera un archivo necesario para el funcionamiento del antivirus, significaría dejar fuera de servicio el sistema de seguridad. Aunque esta técnica depende del timing, al parecer podía tener éxito incluso con simples repeticiones hechas mediante un archivo por lotes.
Video de prueba de concepto para Windows:
https://www.youtube.com/watch?v=MblUiyazdAc
Video de prueba de concepto para macOS:
Aún no hay comentarios.