• Tweet

Defectos peligrosos abundan el la mayoría de las aplicaciones, si no es que en todas. Pero los expertos dicen que aquellos que pueden golpear más fuerte se encuentran en los productos de seguridad diseñados para proteger, como el caso de los antivirus. Una investigación muestra que esos defectos con frecuencia no requieren interacción del usuario - independientemente del sistema operativo - y el nivel de privilegio es regularmente alto: del sistema, root o incluso el kernel.

En lo que va de este año, el investigador independiente de seguridad Alex Wheeler ha descubierto huecos de seguridad en productos antivirus de Symantec, TrenMicro, Computer Associates, F-Secure y Sophos, que juntos acumulan más del 75% del mercado de antivirus mundial. Todos estos huecos permitían alguna forma de corrupción de la memoria, lo cual llevaba a desbordamientos de memoria (buffer overflows), dijo Wheeler. Cuando un intruso logra desbordar estos buffers de alguna manera específica, la persona obtiene el control del programa. Una vez que controla la ejecución del programa, esa persona es capaz de ejecutar cualquier cosa bajo el contexto del programa antivirus.

"Es importante hacer notar que estos huecos en los antivirus eran alcanzables por omisión y no requerían interacción del usuario para explotarlos, lo que es el mejor escenario para un intruso", dijo Wheeler, quien habló sobre sus descubrimientos durante la reunión Black Hat de este verano en Las Vegas. Mencionó también que "en muchos de los huecos de alto riesgo que se publicitan actualmente en el software cliente -- como Internet Explorer, iTunes y Mozilla -- el intruso debe atraer a un usuario para hacer algo para poder explotar el hueco, como por ejemplo ver una imagen, escuchar una canción o visitar una página web".

Los programas antivirus se ejecutan con privilegios elevados como system, root o incluso kernel, dijo Wheeler. Esto permite a un intruso hacer cualquier cosa a voluntad, como por ejemplo:

• Instalar un rootkit para espiar a los usuarios del sistema y ejecutar programas sin ser detectado.
• Explotar cualquier relación de confianza con otro sistema para comprometerlo también, lo cual es extremadamente útil cuando la biblioteca del antivirus se está ejecutando en un gateway que protege una red empresarial o de un ISP.
• Robar contraseñas, datos financieros, etc.
• Modificar o borrar datos existentes, como un correo electrónico o documento enviado al usuario.

Wheeler dijo que "estos huecos estaban en bibliotecas principales que los fabricantes usaban en todos sus productos antivirus". Trabajando con el investigador Neel Mehta de Internet Security Systems, se dieron cuenta de la severidad de la situación. Mencionó que "los huecos afectaban a cualquier producto antivirus que el fabricante estaba vendiendo, lo que en el caso de los grandes fabricantes significa algunas veces más de 30 productos distintos. Aún peor, estas bibliotecas se ejecutan en prácticamente cualquier sistema operativos moderno: Windows, Linux, Unix, Mac, etc., de tal forma que no sólo son vulnerables los sistemas Windows, aunque son lo que están más propensos a los virus".

Fuente: searchsecurity.com  RAQ/