Es un poco como el síndrome de rociadores. Para poder realizar su trabajo de protección y detección de malware, el software de seguridad tiene una serie de técnicas más o menos intrusivas.
Entre ellos se encuentra «enganchar», un conjunto de técnicas informáticas para inyectar código en un proceso.
Esto no es nada extraordinario a priori y no es necesariamente malicioso. Es una técnica incluso comúnmente utilizada con archivos DLL para agregar funcionalidades o comportamientos que no estaban previstos en el código original.
“Los editores de soluciones de seguridad necesitan estas técnicas, en particular para inspeccionar llamadas a funciones. Pero el problema es que a menudo están mal implementados «, dice Tomer Bitton, vicepresidente, está investigando en EnSilo, una compañía especializada en seguridad, en la conferencia de BSides San Francisco, que tuvo lugar ayer 29 de febrero.
Con su colega Udi Yavo, diseccionó una docena de soluciones de seguridad: antivirus, firewalls de red, firewalls personales … Resultado: todos eran vulnerables a la explotación potencial por parte de un pirata, en todos los sistemas Windows y sin gran dificultad.
Es una pena. «En total, descubrimos seis fallas diferentes, incluidas cuatro muy críticas, que permiten ejecutar código arbitrario.
Además, el hacker ni siquiera necesita acceso de administrador, los privilegios del usuario son suficientes «, continúa Tomer Bitton, quien aprovechó la oportunidad para demostrar el uso de un archivo PDF atrapado.
Un desarrollo perfecto
Los dos especialistas obviamente contactaron a los editores. La mayoría de ellos han hecho correcciones desde entonces. Pero no todos, por eso no mencionaron los nombres del software analizado.
Conocemos al menos tres: AVG Internet Security 2015, Kaspersky Total Security 2015 y McAfee Virus Scan Enterprise. En una nota de blog de diciembre pasado, los dos investigadores ya habían revelado que habían encontrado tales fallas en estos tres paquetes de software, lo que los llevó a ampliar su investigación.
A través de sus contactos con los editores, los dos investigadores se sorprendieron al descubrir que los desarrolladores de software no necesariamente trabajan en estrecho contacto con analistas de malware.
Es una pena, porque estos últimos están familiarizados con los problemas relacionados con el «enganche». El proceso de desarrollo de estos editores es, por lo tanto, claramente perfeccionable.
MM. Bitton y Yano no se detuvieron en la simple observación. Han desarrollado una herramienta llamada «AVulnerabilityChecker» que detecta algunos de los defectos encontrados en el software.
Está disponible en GitHub, pero está destinado a usuarios avanzados. Una segunda herramienta complementaria también estará disponible pronto.
Una avalancha de fallas
Esta no es la primera vez que los editores de soluciones de seguridad han sido inmovilizados de esta manera. En los últimos meses, muchos han sido expuestos por el investigador de Google, Tavis Ormandy, quien ha encontrado fallas en Avast, Comodo, AVG, Kaspersky, Malwarebytes, Trend Micro y FireEye. Un verdadero fuego artificial.
Y en enero pasado, en la conferencia Shmoocon 2016, Patrick Wardle de Synack mostró un ataque de intercepción en Kaspersky Internet Security y fallas en el software Gatekeeper de Apple. La temporada de caza abierta.
