Los antivirus son una herramienta que no debe faltar en nuestras computadoras. Nos ayudan a mantenernos libres de archivos maliciosos y de interceptar cualquier amenaza que pueda ser perjudicial para nuestros equipos.
No obstante, el investigador Or Yair, perteneciente a la empresa SafeBreach Labs, ha descubierto un fallo de seguridad de antivirus al cual todos deberíamos prestar atención.
Yair se encargó de probar 11 productos diferentes de seguridad, donde descubrió que 6 de ellos presentaban una vulnerabilidad donde el hacker podía usar los softwares de detección y respuesta de enpoints (EDR) y antivirus para eliminar archivos y directorios que podían dejar a la máquina inutilizable.
Además, se comprobó que los hackers podían usar esta vulnerabilidad sin necesidad de ser un usuario con privilegios del equipo, es decir, engañaban al programa de seguridad para llevar a cabo ataques destructivos.
Por lo tanto, podían llevar a cabo un ataque conocido como “data wiping” o limpiador de datos, que le permite al atacante borrar prácticamente cualquier archivo en un sistema. Esto haría que el usuario no pudiera ni siquiera arrancar el equipo.
¿Por qué es importante conocer este fallo de seguridad de antivirus?
Los softwares de antivirus y de detección y respuesta de endpoints funcionan detectando un archivo malicioso, y luego lo elimina.
Pero, los investigadores de SafeBreach detectaron que por una característica de Windows que les permite a los usuarios sin privilegios crear puntos de unión, los hackers podían engañar al programa de seguridad al crear un directorio señuelo y colocar la ruta del archivo que querían eliminar.
Por lo tanto, una vez que el sistema se reinicia, Windows empieza a eliminar todas las rutas, lo que lleva a una limpieza de todos los archivos.
Lo más sorprendente de todo, es que esta vulnerabilidad ya es conocida, y de hecho, en Github está disponible el limpiador para aprovecharse de este fallo que presentan ciertos programas como Microsoft Defender y el EDR de SentinelOne.
De manera que es importante que todos los proveedores de este tipo de software conozcan de este fallo de seguridad de antivirus y de EDR para que puedan tomar las medidas necesarias y garantizar una completa seguridad a sus usuarios.
De acuerdo a SafeBreach, esta vulnerabilidad afectó a muchos en el periodo de Julio-agosto de 2022, por lo que muchos hackers pudieron hacer sus fechorías.
En la actualidad, los proveedores de AV y EDR están trabajando para corregir este error y así mejorar su servicio.
