En la conferencia de seguridad SyScan 360 (que tuvo lugar en Beijing, China, a principios de julio), Joxean Koret, investigador de la compañía de seguridad singapurense COSEINC, afirmó haber encontrado agujeros de seguridad en los motores de varios de los antivirus más populares del mercado, entre ellos Avast, AVG, Avira, BitDefender, ClamAV, Comodo, DrWeb, eScan, ESET, F-Prot, F-Secure y Panda (así, hasta 17… algunos de las cuales aún no habían solventado dichos bugs a fecha del día de la presentación de Koret). Éste documentó, así mismo, varios procedimientos que permitían comprometer la seguridad del software antivirus.
A lo largo de su presentación (disponible aquí en formato PDF) exponía varias conclusiones:
- Cada nuevo software instalado en un equipo hace más vulnerable al mismo, pues aumenta la “superficie de ataque” al crear nuevas conexiones que pueden ser explotadas.
- Los mismos privilegios de administrador con que se instalan los antivirus y que les permite llevar a cabo su labor, son los que les permite causar un gran daño en la computadora cuando se ven comprometidos.
- Los motores antivirus deben ser capaces de analizar una extensa lista de formatos de archivo (RAR, ZIP, 7z, Xar, tar, cpio, Ole2, el pdf, CHM, HLP, PE, Elf, Mach-O, JPG, PNG, Bz, Gz, LZMA, TGA, WMF, ICO, Cur, etc), lo cual puede traducirse en nuevos bugs de los parsers (programas de análisis sintáctico) de los mismos.
- Resulta fácil para un posible atacante realizar un ataque man-in-the-middle interceptando las conexiones HTTP que el software antivirus realiza durante su proceso de actualización. Esto es así porque dichas conexiones no suelen realizarse sobre conexiones HTTPS, ni los archivos descargados se verifican criptográficamente.
- La mayoría de los motores antivirus están escritos, por razones de rendimiento, en lenguajes de código no gestionado: C y/o C++, con algunas pocas excepciones (como MalwareBytes, desarrollado sobre el ya vetusto Visual Basic 6). Todo ello se traduce en vulnerabilidades de cadena de formato, desbordamientos de búfer, desbordamientos de entero, etc (que no se darían de usar lenguajes de código gestionado, como Java o C#, más exigentes en cuanto a recursos).
Pero otros especialistas en seguridad no comparten con Koret la preocupación por sus hallazgos: “El código inseguro puede poner en riesgo al usuario, como se ha demostrado en la presentación. Sin embargo, este tipo de ataques han estado hasta este momento más bien orientados hacia la investigación: no estoy al tanto de ningún virus u otro tipo de malware que exploten esta vulnerabilidad del software antivirus“, aclaraba Andrea Marx, CEO de la compañía de testeo de antivirus AV-TEST, en declaraciones a Tom´s Guide.
Marx tampoco cree que los crackers vayan a tener un especial interés por aprovechar dicha vulnerabilidad de los antivirus. La razón es simple: algunos de los agujeros de seguridad descritos no son exclusivos de dicho tipo de software, sino que podemos encontrarlos igualmente en software como Java, Flash, o Adobe Reader… que disponen de una cuota de mercado mucho mayor que el los antivirus más populares (recordemos que éste es, al fin y al cabo, un mercado enormemente fragmentado).
from TICbeat http://ift.tt/1s1fqUG
