Un investigador de seguridad reveló en la
conferencia de SyScan 360 en Beijing que varios de los productos antivirus más populares tienen
vulnerabilidades que pueden ser explotadas de forma local o remota.
Joxean Koret, investigador de la empresa de seguridad con sede en Singapur COSEINC,
probó 17 motores antivirus
[PDF], 14 de los cuales eran vulnerables a distintos tipos de ataques.
Entre los afectados estaban Avast, AVG, Avira, Bitdefender, ClaimAV,
Comodo, Dr.Web, ESET, Ikarus eScan, F-Secure, Sophos, Bkav y Panda
Security.
Koret señaló varios factores que hacen a los
antivirus más vulnerables,
entre ellos el hecho de que la mayoría son escritos en C y C++, lo puede
conducir a fallos comunes de desbordamientos de buffer; se ejecutan con
privilegios altos, que podría conducir a la ejecución de
exploits;
soportan un gran número de formatos de archivo, lo que podría dar lugar
a errores en los programas de análisis; y las actualizaciones se
realizan a través de HTTP, lo que los deja expuestos a ataques
Man-in-the-Middle.
"El software antivirus en general no protege adecuadamente los
sistemas contra ataques sofisticados. Por el contrario, en algunos
casos, aumenta la superficie de ataque por lo que incluso los usuarios
podrían ser más vulnerables", explicó el experto sostuvo.
El investigador encontró muchas de las
vulnerabilidades a través de la técnica de prueba de software llamad
a fuzzing,
y mediante la realización de controles locales y remotos básicos del
protocolo de actualización, servicios de red, ASLR y listas de control
de acceso.
La lista de los agujeros de seguridad detectados incluye un
desbordamiento de Heap en Avast, AVG, Comodo, múltiples vulnerabilidades
remotas de Avira, Bitdefender y Dr.Web, un desbordamiento de entero en
ESET,
múltiples escalamiento de privilegios locales en Panda, y
múltiples inyecciones de comandos en eScan.
Algunos de los defectos encontrados por Koret ya han sido abordados por
las empresas antivirus, pero algunos de ellos permanecen sin
tratamiento. El experto sólo ha informado de sus conclusiones a Avast,
porque la empresa tiene un
programa de recompensas;
a ClamAV, debido a que su antivirus es de código abierto; a Panda,
porque tiene "amigos" allí; y con Ikarus, ESET y F-Secure, ya que se
pusieron en contacto él.
Como corolario,
Joxean Koret ha publicado un scanner MultiAV desarrollado en Python que permite analizar archivos y directorios con múltiples motores antivirus y de forma simultánea.
Fuente:
Security Week