F-Secure soluciona grave vulnerabilidad en antivirus
F-Secure ha solucionado una grave vulnerabilidad en sus productos antivirus para el hogar y la empresa que podría haber permitido a un atacante ejecutar código malicioso en la máquina del usuario y hacerse cargo de las PC afectadas
La vulnerabilidad real no afecta directamente a F-Secure, pero el software de archivado de archivos 7-Zip, que F-Secure usa para descomprimir archivos, examinarlos en busca de amenazas y volver a empaquetar el archivo original.
Un investigador de seguridad con el seudónimo de "landave" descubrió esta vulnerabilidad en particular (CVE-2018-10115) en marzo y trabajó con el equipo 7-Zip para solucionar el problema.
Esta era la tercera vulnerabilidad de Landave que afectaba a 7-Zip después de que también descubriera previamente CVE-2017-17969 y CVE-2018-5996 . Del mismo modo, el investigador encontró dos errores relacionados con 7-Zip que afectan al antivirus de Bitdefender el año pasado, en 2017
Por razones obvias, tan pronto como el investigador encontró este último error de 7-Zip, buscó otro producto antivirus que también pudiera verse afectado, y notó que la línea de productos antivirus de F-Secure era susceptible a su último descubrimiento.
Vulnerabilidad explotada a través de un archivo RAR envenenado
De acuerdo con un informe técnico que explica la vulnerabilidad 7-Zip con más detalle, el error 7-Zip puede explotarse mediante la creación de un archivo RAR malformado que cuando se descomprime desencadena la ejecución de código malicioso en la computadora de un usuario.
Dado que los productos antivirus de F-Secure automatizan algunas de estas operaciones de descompresión de archivos durante su procedimiento de escaneo, explotar este error fue tan trivial como engañar a un usuario malintencionado para que acceda a una URL maliciosa que inició una descarga de archivos.
Landave dice que los productos de F-Secure escanearán automáticamente todos los archivos recién descargados de menos de 5MB de tamaño, lo que significa que una vez que finaliza la descarga del archivo RAR malicioso, el código malicioso dentro del RAR explota CVE-2018-10115 y ejecuta operaciones maliciosas en el la computadora del usuario.
El investigador dice que incluso si F-Secure implementó la Asignación de espacio de direcciones (ASLR), una característica de seguridad para prevenir tales exploits, pudo encontrar un bypass que le permitiría ejecutar el ataque independientemente.
Sin embargo, el problema fue reportado de manera privada al equipo de F-Secure a través del programa de recompensas por errores de la compañía, y la compañía lanzó una actualización de todos los productos antivirus afectados el 22 de mayo.
Los usuarios de F-Secure no tienen que realizar ninguna acción para recibir esta actualización a menos que hayan desactivado la función de actualización automática. Se incluye una lista de productos afectados en este aviso de seguridad de F-Secure . Solo las versiones de F-Secure para Windows se vieron afectadas, y no los productos Mac y Linux de la compañía.
Además, los usuarios pueden desactivar la opción "Escanear dentro de archivos comprimidos (zip, arj, lzh, ...)" para evitar que el antivirus busque dentro de los archivos archivados.
Tomar las computadoras a través de archivos archivados malformados no es un concepto nuevo. Un investigador de seguridad de Google Project Zero mostró exploits similares en una gran cantidad de productos antivirus en los últimos dos o tres años, el último dirigido a Windows Defender.