Error crítico en los productos de ESET demuestra por qué los grupos de espionaje están interesados en los programas antivirus.


La falla podría permitir a los atacantes comprometer totalmente los sistemas a través de sitios web, correos electrónicos, unidades USB y otros métodos.


Varios productos de la firma de seguridad ESET tenían una vulnerabilidad crítica que era fácil de explotar y podría conducir a comprometer todo el sistema.

El descubrimiento de la falla, que ahora ha sido parcheado, viene de la mano de un informe que señala a las agencias de inteligencia del Reino Unido y de los EE.UU. de usar ingeniería inversa en búsqueda de vulnerabilidades y métodos para eludir la detección de los productos antivirus.

La vulnerabilidad en los productos ESET fue descubierta por el ingeniero de seguridad de Google Tavis Ormandy y se hallaba en su emulador, el componente del antivirus responsable de desempaquetar y ejecutar código potencialmente malicioso dentro de un ambiente seguro para que pueda ser escaneado.

Los productos de ESET vigilan las operaciones de entrada y salida al disco y cuando se detecta un código ejecutable este se ejecuta a través del emulador para aplicar las firmas de detección.

"Debido a que es tan fácil para los atacantes activar la emulación de código no confiable, es sumamente importante que el emulador sea robusto y aislado", dijo Ormandy en una entrada de blog. "Desafortunadamente, el análisis de la emulación de ESET revela que no era ese el caso pudiendo ser trivialmente comprometida."

La vulnerabilidad encontrada por el investigador de Google permite a un atacante remoto ejecutar comandos arbitrarios con el privilegio más alto del sistema. El error es particularmente peligroso porque puede ser explotado de muchas formas, incluyendo simplemente cargando una página web en el navegador, la descarga de un mensaje de correo electrónico en un cliente de correo electrónico local, conectar una unidad USB flash en el ordenador y otras acciones que desencadenan las operaciones en el disco.

Siendo tan fácil de explotar, el defecto puede ser usado para crear un gusano informático que se propague desde un ordenador a otro, incluso en redes " air-gapped ", y en unidades USB flash, de acuerdo con Ormandy.

La vulnerabilidad afecta a ESET Smart Security para Windows, ESET NOD32 Antivirus para Windows, ESET Cyber Security Pro para OS X, ESET NOD32 para Linux Desktop, ESET Endpoint Security para Windows y OS X y ESET NOD32 Business Edition.

La compañía lanzó una actualización para el motor de análisis el día lunes que arregla la falla, por lo que los usuarios deben asegurarse de que estén actualizados sus productos.

La vulnerabilidad se encuentra en la rutina de emulación utilizada por un escáner especial para una familia de malware específico y no afectó el motor de emulación del núcleo, señalaron desde ESET en un comunicado enviado por correo electrónico.

Dando como resultado los esfuerzos de reescribir el código para mejorar la calidad del producto, la empresa ya había corregido el defecto, y no existe en el motor de ESET un "pre-lanzamiento", que esté disponible para todos los clientes, dijo la compañía. "Con el fin de lograr la máxima fiabilidad, ESET utiliza herramientas especializadas, ejecuta múltiples revisiones del código y poco a poco se despliega las mitigaciones para hacer que el código sea más robusto", indicó en un comunicado.


Esta no es la primera vez que los investigadores de seguridad han descubierto vulnerabilidades graves en los productos antivirus. En 2012, Ormandy descubrió vulnerabilidades críticas en Sophos Antivirus y el año pasado se encontró un defecto que podría ser explotado para desactivar de forma remota el motor de protección utilizado en muchos productos antimalware de Microsoft.

También el año pasado, Joxean Koret, investigador de Coseinc, halló docenas de formas de explotar remota y localmente vulnerabilidades en 14 antivirus.

A diferencia de otras aplicaciones de software, los antivirus tienen una superficie de ataque muy grande, ya que necesitan inspeccionar muchos tipos de archivos y el código es escrito en diferentes idiomas para varias fuentes, incluyendo la Web y el correo electrónico; por lo que el archivo de análisis ha sido históricamente una fuente de muchas vulnerabilidades.

Durante los últimos años ha habido un esfuerzo para limitar los privilegios de las aplicaciones utilizados en el software. Algunos programas como Google Chrome o Adobe Reader utilizan mecanismos de sandboxing, por lo que es mucho más difícil para los atacantes explotar vulnerabilidades de ejecución remota del código.

Sin embargo, los productos antivirus necesitan privilegios altos para funcionar para que puedan luchar con eficacia contra las amenazas, siendo muy importante que su código sea sólido, dijo Carsten Eiram, jefe de investigación de inteligencia de vulnerabilidad de riesgos de la firma Risk Based Security, por correo electrónico. Por desgracia, a menudo no es el caso y esto permite a los atacantes tomar el control completo de un sistema mediante la explotación de una sola vulnerabilidad, sin tener que preocuparse de pasar por “las cajas de arena” u obtener grados de privilegios, señaló.

Según Eiram, el 2.5 por ciento de las fallas registradas que ponían en riesgo de seguridad basado en su base de datos de vulnerabilidad del año pasado fueron de los productos de seguridad, incluidos los programas antivirus. La tasa histórica es de 2.2 por ciento y eso es importante teniendo en cuenta que el número total de vulnerabilidades reportadas por año superó los 10 mil en los últimos años.

The Intercept informó el día lunes que la Sede de Comunicaciones del Gobierno del Reino Unido (GCHQ) presentó en el 2008 solicitudes para renovar una orden que permitiría a la agencia invertir en ingeniería inversa para encontrar debilidades en los productos de kaspersky. La Agencia de Seguridad Nacional de Estados Unidos también estudió los productos antivirus para eludir su detección según se ve en archivos secretos filtrados por el ex contratista de la NSA Edward Snowden, según se reportó en agencias de noticias de internet.


A principios de este mes, Kaspersky Lab ha anunciado que algunos de sus sistemas internos estaban infectados con una nueva versión de una herramienta de ciberespionaje sofisticado llamado Duqu. Los atacantes, que la empresa cree firmemente que eran patrocinados por algún estado, intentaron recabar información sobre la propiedad intelectual de Kaspersky, incluida la información sobre sus últimas tecnologías y las investigaciones en curso.

"No es nuevo ni tampoco es sorprendente que las agencias de inteligencia utilicen ingeniería inversa en los productos de seguridad para encontrar vulnerabilidades, con el fin de hallar formas de evitar los mecanismos de protección previstos", dijo Eiram. "Es, sin embargo, bastante relativo que ellos también estén vulnerando a las empresas de seguridad con el fin de robar su propiedad intelectual."

Fuente: Infoworld