AV Vulnerability Checker es un programa gratuito para Windows que determina si el software antivirus instalado en la computadora es vulnerable a direcciones de lectura-escritura-ejecución (RWX) constantes explotables.
Las vulnerabilidades son malas, independientemente de si se encuentran en el sistema operativo o en los programas que se ejecutan en él. Uno de los peores tipos afecta al software de seguridad, programas que están diseñados para proteger el sistema de ataques.
Ensilo, la compañía detrás del producto del mismo nombre que «ofrece una plataforma de prevención de exfiltración en tiempo real contra ataques dirigidos avanzados», reveló la vulnerabilidad de seguridad que está afectando a varios productos antivirus en una publicación reciente de blog.
Descubrió la vulnerabilidad mientras investigaba una colisión del producto enSilo de la empresa con el software antivirus AVG.
Las soluciones antivirus vulnerables «asignan una página de memoria con permisos de lectura, escritura y ejecución en una dirección constante y predecible» y para varios procesos de modo de usuario, incluidos los de los navegadores web o Adobe Reader.
La vulnerabilidad permite a los atacantes eludir ciertas mitigaciones de Windows contra exploits, por ejemplo, ASLR o DEP, ya que el atacante sabe dónde escribir y ejecutar código.
La compañía encontró la vulnerabilidad en varios productos antivirus, incluido McAfee Virus Scan for Enterprise versión 8.8, Kaspersky Total Security 2015 y AVG Internet Security 2015.
Tanto AVG como McAfee parecen haber solucionado el problema en actualizaciones recientes.
Ensilo lanzó un programa para Windows que prueba otras soluciones antivirus para detectar la vulnerabilidad. La herramienta es disponible en Github.
- Haga clic en descargar en Github y descargue el archivo en el sistema local.
- Luego extraiga el archivo a un directorio local.
- Ejecute AVulnerabilityChecker.exe.
El programa prueba la vulnerabilidad utilizando navegadores web en el sistema. Para que funcione, debe tener un navegador web abierto y cerrarlo cuando el programa le solicite que lo haga.
Luego, debe reiniciar el navegador web y abrir al menos dos pestañas nuevas en él. Luego, el programa verificará si la vulnerabilidad se puede aprovechar en el sistema.
Es probable que cualquier región de memoria que exista en ambos escaneos sea predecible y el programa lo indica al enumerar esas direcciones y procesos.
Lo que no hará es revelar la solución de seguridad que es vulnerable al ataque. Los investigadores sugieren que use un depurador para averiguarlo, pero si eso suena demasiado complicado, es posible que desee deshabilitar el software de seguridad y volver a ejecutar las pruebas para encontrar al culpable o culpables de esta manera.
Si descubre que un producto que utiliza es vulnerable, es poco lo que puede hacer al respecto. Después de asegurarse de que esté actualizado, puede informar al desarrollador del programa sobre la vulnerabilidad.