{"id":2353,"date":"2020-10-22T17:25:26","date_gmt":"2020-10-22T22:25:26","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2353"},"modified":"2020-10-23T08:58:25","modified_gmt":"2020-10-23T13:58:25","slug":"vulnerabilidades-en-antivirus-conocidos-ponen-en-peligro-a-millones-de-computadores","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/vulnerabilidades-en-antivirus-conocidos-ponen-en-peligro-a-millones-de-computadores\/","title":{"rendered":"Vulnerabilidades en Antivirus conocidos ponen en peligro a millones de computadores"},"content":{"rendered":"\n<p>Investigadores de seguridad inform\u00e1tica descubren vulnerabilidades de seguridad en soluciones de antivirus reconocidas que podr\u00edan permitir a los atacantes elevar sus privilegios,<strong>&nbsp;ayudando as\u00ed al malware a mantener sus acciones maliciosas en los sistemas comprometidos.<\/strong><\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><img data-opt-id=1115351265  fetchpriority=\"high\" decoding=\"async\" width=\"296\" height=\"301\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/image-6.png\" alt=\"\" class=\"wp-image-2361\"\/><\/figure><\/div>\n\n\n\n<p>Seg\u00fan un informe publicado por&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.cyberark.com\/resources\/threat-research-blog\/anti-virus-vulnerabilities-who-s-guarding-the-watch-tower\" target=\"_blank\">CyberArk Labs<\/a>, los altos privilegios asociados a menudo con los productos antimalware los hacen m\u00e1s vulnerables a la explotaci\u00f3n a trav\u00e9s de ataques de manipulaci\u00f3n de archivos, lo que da como resultado un escenario en el que el malware obtiene permisos elevados en el sistema.<\/p>\n\n\n\n<p>Las vulnerabilidades impactan una amplia lista de soluciones antivirus, incluidas las de<strong>&nbsp;Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira y Microsoft Defender<\/strong>.<\/p>\n\n\n\n<p>La principal falla es la capacidad de eliminar archivos de ubicaciones arbitrarias, lo que permite al atacante eliminar cualquier archivo en el sistema,&nbsp;<strong>as\u00ed como una vulnerabilidad de corrupci\u00f3n de archivos que permite al atacante eliminar contenido de cualquier archivo en el sistema.<\/strong><\/p>\n\n\n\n<p>Seg\u00fan CyberArk, los errores son el resultado de las DACL predeterminadas (Listas de Control de Acceso Discrecional) para la carpeta \u00abC:\\ProgramData\u00bb de Windows, que son las aplicaciones para almacenar datos para usuarios est\u00e1ndar sin necesidad de permisos adicionales.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img data-opt-id=2076700845  fetchpriority=\"high\" decoding=\"async\" width=\"836\" height=\"188\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/image-5.png\" alt=\"\" class=\"wp-image-2360\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:836\/h:188\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/image-5.png 836w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:67\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/image-5.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:173\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/image-5.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:187\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/image-5.png 830w\" sizes=\"(max-width: 650px) 100vw, 650px\" \/><\/figure>\n\n\n\n<p>Las vulnerabilidades pueden ser consultadas en la siguiente forma:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Centro de seguridad de Kaspersky:&nbsp;<\/strong>CVE-2020-25043, CVE-2020-25044, CVE-2020-25045<\/li><li><strong>McAfee Endpoint Security y McAfee Total Protection<\/strong>: CVE-2020-7250, CVE-2020-7310<\/li><li><strong>Symantec Norton Power Eraser:<\/strong>&nbsp;CVE-2019-1954<\/li><li><strong>Fortinet FortiClient:<\/strong>&nbsp;CVE-2020-9290<\/li><li><strong>Check Point ZoneAlarm y Check Point Endpoint Security:&nbsp;<\/strong>CVE-2019-8452<\/li><li><strong>Trend Micro HouseCall para redes dom\u00e9sticas:&nbsp;<\/strong>CVE-2019-19688, CVE-2019-19689 y tres fallas m\u00e1s sin asingar<\/li><li><strong>Avira:<\/strong>&nbsp;CVE-2020-13903<\/li><li><strong>Microsoft Defender:<\/strong>&nbsp;CVE-2019-1161<\/li><\/ul>\n\n\n\n<p>En un caso espec\u00edfico, se observ\u00f3 que dos procesos diferentes, uno con privilegios y el otro que se ejecuta como un usuario local autenticado, compart\u00edan el mismo archivo de registro,<strong>&nbsp;lo que podr\u00eda permitir a un atacante explotar el proceso con privilegios para eliminar el archivo y crear un enlace simb\u00f3lico que apunte a cualquier archivo arbitrario deseado con contenido malicioso.<\/strong><\/p>\n\n\n\n<p>Posteriormente, los investigadores de CyberArk explotaron la posibilidad de crear una nueva carpeta en \u00abC:\\ProgramData\u00bb antes de que se ejecute un proceso privilegiado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Usar un marco de instalaci\u00f3n antiguo = secuestro de DLL<\/h2>\n\n\n\n<p>Los instaladores, programas que instalan software nuevo en su m\u00e1quina, a menudo brindan las mejores oportunidades para que los usuarios malintencionados escalen sus privilegios mediante el secuestro de DLL.&nbsp;La raz\u00f3n principal por la que los atacantes buscar\u00e1n estas oportunidades es porque los proveedores actualizan los&nbsp;paquetes&nbsp;<strong>internos<\/strong>&nbsp;, pero a menudo se olvidan de actualizar el paquete de instalaci\u00f3n.&nbsp;En otras palabras, nadie actualiza los instaladores solo el c\u00f3digo que contienen y, por lo tanto, muchos productos de software que dependen de marcos de instalaci\u00f3n son vulnerables al secuestro de DLL.&nbsp;\u00bfQu\u00e9 quiero decir con vulnerable al secuestro de DLL?&nbsp;Bueno, significa que un usuario est\u00e1ndar puede abusar de la carga de DLL de un proceso privilegiado e inyectar c\u00f3digo con \u00e9xito en \u00e9l.&nbsp;Escalada de privilegios a trav\u00e9s de DLL secuestro no debe depender de&nbsp;<strong>permisos de escritura<\/strong>entradas en% PATH%.&nbsp;Aqu\u00ed hay una breve lista parcial de marcos de instalaci\u00f3n (los MSI parecen bastante seguros) que se encontraron vulnerables a un ataque de este tipo:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>InstallShield<\/li><li>InnoSetup<\/li><li>Instalador de Nsis<\/li><li>Instalador de Wix<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Resumen<\/h2>\n\n\n\n<p>Las implicaciones de estos errores son a menudo una escalada de privilegios total del sistema local.&nbsp;Debido al alto nivel de privilegios de los productos de seguridad, un error en ellos podr\u00eda ayudar al malware a mantenerse firme y causar m\u00e1s da\u00f1o a la organizaci\u00f3n.&nbsp;Los exploits que se presentaron aqu\u00ed son f\u00e1ciles de implementar, pero tambi\u00e9n f\u00e1ciles de parchear.&nbsp;Hemos visto que bloquear los ataques de enlaces simb\u00f3licos o bloquear la carga de DLL maliciosos requiere solo un peque\u00f1o retoque en el c\u00f3digo.&nbsp;Sabiendo eso, los proveedores de AV deber\u00edan poder eliminar esta clase de error generalizada. <\/p>\n\n\n\n<p>Si bien cada una de estas vulnerabilidades se ha solucionado por el fabricante, este articulo sirve como recordatorio de que las debilidades en el software, incluidas las que tienen como objetivo ofrecer protecci\u00f3n antivirus, pueden ser un conducto para el malware y es necesario estar atentos, evaluando sus sistemas y actualizando sus componentes de software constantemente.<\/p>\n\n\n\n<p>Conoce nuestro servicio web de identificaci\u00f3n de riesgos de IT y vulnerabilidades inform\u00e1ticas &#8211;<strong>SIRIT<\/strong>&#8211; que incluye diagnostico a computadores,  aplicaciones y personas.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.itechsas.com\/blog\/sirit\/\" target=\"_blank\" rel=\"noopener noreferrer\"><img data-opt-id=454630142  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:573\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/Banner-SIRIT-ITRIS-1.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%201024%20573%22%20width%3D%221024%22%20height%3D%22573%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%221024%22%20height%3D%22573%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2352\" width=\"517\" height=\"289\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:573\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/Banner-SIRIT-ITRIS-1.png 1024w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:168\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/Banner-SIRIT-ITRIS-1.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:429\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/Banner-SIRIT-ITRIS-1.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:464\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/Banner-SIRIT-ITRIS-1.png 830w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1150\/h:643\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/10\/Banner-SIRIT-ITRIS-1.png 1150w\" \/><\/a><\/figure>\n\n\n\n<div class=\"wp-block-buttons aligncenter is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-outline is-style-outline--1\"><a class=\"wp-block-button__link has-black-color has-text-color has-background\" href=\"https:\/\/www.itechsas.com\/blog\/sirit\/\" style=\"background-color:#f0a505\" target=\"_blank\" rel=\"noreferrer noopener\">Clic aqu\u00ed y prueba <strong>SIRIT <\/strong>sin Costo<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de seguridad inform\u00e1tica descubren vulnerabilidades de seguridad en soluciones de antivirus reconocidas que podr\u00edan permitir a los atacantes elevar sus privilegios,&nbsp;ayudando as\u00ed al malware a mantener sus acciones maliciosas en los sistemas comprometidos. Seg\u00fan un informe publicado por&nbsp;CyberArk Labs, los altos privilegios asociados a menudo con los productos antimalware los hacen m\u00e1s vulnerables a&hellip;<\/p>\n","protected":false},"author":1,"featured_media":2354,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[69,250,249],"class_list":["post-2353","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-antivirus","tag-cve","tag-vulnerabilidades"],"nelio_content":{"autoShareEndMode":"never","automationSources":{"useCustomSentences":false,"customSentences":[]},"efiAlt":"","efiUrl":"","followers":[],"highlights":[],"isAutoShareEnabled":true,"networkImageIds":[],"permalinkQueryArgs":[],"series":[],"suggestedReferences":[]},"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2353","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2353"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2353\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2354"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2353"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2353"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2353"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}