Tanto en los dispositivos de los que hacemos uso en el trabajo como los equipos de casa, deben estar protegidos en todo momento, o al menos eso es lo que recomiendan todos los expertos, mediante algún tipo de herramienta específica para todo ello como es un antivirus, por ejemplo. La mayoría de los usuarios, por tanto, pone toda la responsabilidad de protección de sus datos sobre las «espaldas» de estos programas y suites de seguridad.
Sin embargo, de manera adicional son los propios usuarios los que también deben poner de su parte para evitar ser atacados por alguno de los múltiples tipos de malware existentes hoy día. Y es que, ¿qué sucedería si nos diésemos cuenta de que no podemos confiar plenamente en nuestro aliado software que cuida de nuestro sistema? Eso sería todo un problema, sin duda.
Decimos todo esto debido a que se acaba de descubrir un nuevo exploit llamado AVGator creado por un consultor de seguridad llamado Florian Bogner. Cabe mencionar que muchos de los software antivirus que utilizamos a diario proporcionan una funcionalidad de protección ante los archivos en cuarentena, pero también es cierto que los usuarios pueden restaurar estos ficheros en cuarentena cuando lo deseen.
Pues bien, el uso del mencionado exploit AVGator, permite hacer un mal uso de la función “restaurar desde cuarentena” y puede permitir a un usuario local obtener un control total de un equipo. En condiciones normales, un usuario sin permisos de administrador no puede realizar operaciones de escritura en las rutas “C: \Program Files” o “C: \Windows “.
El exploit AVGator usa los propios antivirus para propagar malware
Sin embargo, AVGator permite a los usuarios hacerlo abusando de los enlaces de directorios de Windows en particiones NTFS para que, de este modo, un usuario pueda restaurar archivos maliciosos en cuarentena en una nueva ubicación, incluso en lugares tan sensibles y peligrosos como la carpeta “Archivos de programa”, y así infectar todo el sistema. Eso sí, hay que tener en cuenta que existe un inconveniente asociado a este tipo de vulnerabilidades con los archivos en cuarentena y que reduce en gran medida su alcance.
Y es que tan solo puede ser realizado por un usuario que tenga acceso físico a la máquina en cuestión, lo que nos permite dejar de lado esa idea que lo mismo se os ha pasado a alguno por la cabeza de dejar de utilizar el software antivirus que tengáis instalado. Después de todo, es una de las principales «armas» que tenemos a nuestra disposición para mantener códigos maliciosos fuera de nuestros equipos.
De todos modos y tras publicar algunos de los desarrolladores de estas soluciones cuyos productos podrían verse comprometidos con exploit AVGator, muchos de ellos ya han lanzado parches para solucionarlo como Trend Micro, Emsisoft, Kaspersky, Malwarebytes, Zonealarm o Ikarus.
FUENTE: Softzone.es
FUENTE: Softzone.es