En los últimos tiempos estamos conociendo graves vulnerabilidades en sistemas y aplicaciones casi cada semana. En esta ocasión, los afectados son los principales sistemas de protección para el malware de Windows, conocidos por todos nosotros como antivirus. Concretamente, se ha descubierto una vulnerabilidad que permite tomar el control completo de un sistema Windows al aprovechar la funcionalidad de cuarentena de estas aplicaciones.

La vulnerabilidad ha sido descubierta por Florian Bogner y todos los detalles aparecen en su web bogner.sh. Esta vulnerabilidad se encuentra en varios de los productos antivirus más famosos y utilizados por los usuarios. A grandes rasgos, este investigador de seguridad ha demostrado que es posible aprovechar el sistema de cuarentena de estas soluciones de seguridad para “colar” archivos infectados con malware en determinadas localizaciones del sistema para posteriormente tomar el control del equipo.

Aquí vemos un vídeo con el funcionamiento y la explicación de la vulnerabilidad que ha bautizado como #AVGater:

#AVGater: listado de antivirus afectados

El vídeo es una explicación muy simple de lo que detalla mucho más extensamente en su web. Vemos como el sistema de escaneado de ficheros del antivirus localiza en primer lugar un archivo infectado. Al usuario se le ofrece la posibilidad de ponerlo en cuarentena, algo clave para poder aprovechar la vulnerabilidad.

Una vez en la carpeta o zona de cuarentena, un atacante local manipula el sistema de escaneado del antivirus para sacar ese archivo infectado de la cuarentena, pero en otro lugar del sistema operativo. Con esto, es capaz de colocar el malware en una carpeta o un área clave del sistema para posteriormente tomar el control. Esto se consigue “abusando” de los enlaces simbólicos conocido como Junction NTFS en este caso.

El responsable de localizar esta vulnerabilidad ha señalado que afecta a los antivirus Trend Micro, Kaspersky Lab, Zone Alarm by Check Point, Malwarebytes, Ikarus Security Software y EMSISOFT. No obstante, todos ellos han parcheado ya las vulnerabilidades y promete actualizar el listado con otros programas vulnerables.

¿Qué podemos hacer para protegernos? Debemos actualizar siempre y en todo caso a la última versión que nos ofrezca el desarrollador del antivirus. Este consejo lo debemos aplicar de forma general a todos los programas y actividades que realizamos en el ordenador. Tener actualizado el sistema y los programas es algo que evita males mayores y muchos de los sonados casos de los últimos tiempos se podrían haber evitado, o al menos minimizado enormemente.