Varios antivirus han sufrido vulnerabilidades de escalado de privilegios
por Jordi Bercial Actualizado: 06/10/2020 2Tal como podemos ver en el sitio web de CyberArk, varios programas antivirus han sido testeados e investigados en busca de vulnerabilidades, algo que ha proporcionado toda una lista de CVEs relacionadas con vulnerabilidades que permitían a un malware escalar privilegios a través del propio antivirus, consiguiendo así suficiente control sobre la máquina como para causar severos problemas.
Entre las compañías afectadas, se encuentran los productos de Kaspersky, McAfee, Symantec, Fortinet, Checkpoint, Trend Micro, Avira e incluso Microsoft, de modo que el propio antivirus incluido con Windows 10 contaba con una vulnerabilidad de este tipo.
Todos los usuarios del sistema tienen permiso de escritura y borrado en la DACL de la carpeta ProgramData
De cualquier modo, siguiendo el curso correcto de los eventos, estas vulnerabilidades ya han sido parcheadas por parte de las distintas compañías, de modo que no debemos preocuparnos si tenemos nuestro equipo actualizado adecuadamente. Habitualmente, los antivirus tienden a actualizarse constantemente y de forma automática, de modo que este tipo de vulnerabilidades pueden ser parcheadas en cuestión de minutos.
Sea como fuere, este problema estaba causado principalmente por las Discretionary Access Control Lists –o DACL—predeterminadas para la carpeta ProgramData en Windows, las cuales son completamente permisivas y son un punto de entrada para un atacante que pueda aprovechar toda la cadena de bugs que podemos encontrar por el camino.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!