Investigadores de seguridad han revelado recientemente los detalles técnicos de nuevas vulnerabilidades descubiertas en soluciones de antivirus populares, que podrían permitir a un atacante local escalar privilegios en el sistema, y además servir de ayuda para que malwares cuenten con un punto de apoyo en los sistemas comprometidos.
Productos afectados:
A. Trend Micro HouseCall for Home Networks, en versiones anteriores a la 5.3.0.1063;
B. Check Point ZoneAlarm, en versiones 15.4.062 y anteriores;
C. Check Point Endpoint Security client para Windows, en versiones anteriores a la E80.96;
D. Instalador de McAfee Total Protection (MTP) trial, en versiones anteriores a la 4.0.161.1;
E. Instaladores de Kaspersky Security Center, en versiones anteriores a la 12 y Kaspersky Security Center Web Console, en versiones anteriores a la 12 Patch A;
F. Kaspersky Virus Removal Tool (KVRT), en versiones anteriores a la 15.0.23.0;
G. Instalador de Kaspersky VPN Secure Connection, en versiones anteriores a la 5.0;
H. McAfee Endpoint Security (ENS) para Windows, en versiones anteriores a la 10.7.0;
I. Microsoft Defender;
J. Avira;
K. FortiClient para Windows online installer, en versiones 6.2.3 y anteriores.
A continuación se citan los identificadores correspondientes a los productos afectados por estos fallos:
A. Kaspersky VPN Secure Connection: CVE-2020-25043 de riesgo alto.
B. Kaspersky Virus Removal Tool (KVRT): CVE-2020-25044 de riesgo alto.
C. Kaspersky Security Center y Kaspersky Security Center Web Console: CVE-2020-25045 de riesgo alto.
D. McAfee Endpoint Security: CVE-2020-7250 de riesgo alto.
E. McAfee Total Protection: CVE-2020-7310 de riesgo medio.
F. Fortinet FortiClient: CVE-2020-9290 de riesgo alto.
G. Check Point ZoneAlarm y Check Point Endpoint Security: CVE-2019-8452 de riesgo alto.
H.Trend Micro HouseCall for Home Networks: CVE-2019-19688, CVE-2019-19689 ambos de riesgo alto, y otras tres vulnerabilidades no asignadas.
I. Avira: CVE-2020-13903 de criticidad no especificada.
J. Microsoft Defender: CVE-2019-1161 de riesgo alto.
De acuerdo con lo reportado por los investigadores, los altos privilegios asociados a los productos anti-malware los hacen vulnerables a la explotación de estos fallos mediante ataques de manipulación de archivos, lo que podría resultar en un escalamiento de privilegios en el sistema afectado. Este tipo de fallos se dan debido al uso de DACLs (Discretionary Access Control List) predeterminadas para el directorio “C:\ProgramData”. En Windows, este directorio es utilizado por aplicaciones para almacenar datos que no son específicos de un usuario, es decir, los procesos/servicios que no están asociados a un usuario específico utilizan el directorio ProgramData en lugar de %LocalAppData%.
Además, dado que los usuarios cuentan con permisos de escritura y eliminación en el nivel base del directorio aumenta las probabilidades de una escalada de privilegios cuando un proceso no privilegiado crea una carpeta en el directorio “ProgramData”, directorio que más tarde podría ser accedido por un proceso privilegiado. En la investigación realizada, en un caso específico se pudo visualizar que dos procesos, uno privilegiado y el otro ejecutado como un usuario local autenticado, comparten el mismo archivo de registro. Esto podría permitir a un potencial atacante utilizar el proceso privilegiado para eliminar el archivo y seguidamente crear un enlace simbólico que haga referencia a un archivo arbitrario con c.ontenido malicioso
Los investigadores exploraron qué sucedería si un nuevo directorio era creado en “C:\ProgramData” antes de la ejecución de un proceso privilegiado y se descubrió que cuando el instalador del antivirus McAfee es ejecutado luego de crear una carpeta “McAfee”, un usuario local tiene completo control sobre el directorio quel podría permitirle obtener permisos elevados mediante un ataque con enlaces dinámicos.
También fueron descubiertos múltiples fallos del tipo DLL Hijacking en diversos frameworks de instalación utilizados por los instaladores de softwares de seguridad, algunos de estos frameworks vulnerables son:
- InstallShield
- InnoSetup
- Nsis installer
- Wix installer
Esto se da debido a que los fabricantes actualizan únicamente los paquetes internos, sin embargo olvidan actualizar el paquete de instalador, dando lugar a que múltiples software de seguridad basados en frameworks de instalación sean vulnerables a DLL Hijacking, es decir, un atacante local podría tomar provecho de la carga del archivo DLL (archivos con código ejecutable cargados bajo demanda de un programa por parte del sistema operativo) de un proceso privilegiado e inyectar código malicioso en el.
Recomendaciones:
Actualizar los productos afectados a la última versión disponible:
A. Trend Micro HouseCall for Home Networks, desde el siguiente enlace.
B. Check Point ZoneAlarm, desde el siguiente enlace.
C. Check Point Endpoint Security client para Windows, desde el siguiente enlace.
D. McAfee Total Protection (MTP) trial, desde el siguiente enlace.
E. Kaspersky Security Center y Kaspersky Security Center Web Console, desde el siguiente enlace.
F. Kaspersky Virus Removal Tool (KVRT), desde el siguiente enlace.
G. Kaspersky VPN Secure Connection, desde el siguiente enlace.
H. McAfee Endpoint Security (ENS) para Windows, desde el siguiente enlace.
I. FortiClient para Windows, desde el siguiente enlace
J. Avira, desde el siguiente enlace.
K. Microsoft Defender, desde el apartado “Security Updates” del siguiente enlace.
Referencias:
- https://kc.mcafee.com/corporate/index?page=content&id=SB10309
- https://www.fortiguard.com/psirt/FG-IR-19-060
- https://support.kaspersky.com/general/vulnerability.aspx?el=12430#290720
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1161
- https://supportcenter.us.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk150012
- https://esupport.trendmicro.com/en-us/home/pages/technical-support/1124034.aspx
- https://www.cyberark.com/resources/threat-research-blog/anti-virus-vulnerabilities-who-s-guarding-the-watch-tower
- https://thehackernews.com/2020/10/antivirus-software-vulnerabilities.html