Una vulnerabilidad recientemente revelada en Malwarebytes Anti-Malware (gratuito, premium y empresarial) permite a los atacantes ejecutar ataques man in the middle contra sistemas que ejecutan el software.
Malwarebytes Anti-Malware es un escáner de segunda opinión popular, y las ediciones premium y empresarial del programa le agregan protección en tiempo real, entre otras cosas, lo que lo alinea más con las soluciones antivirus tradicionales.
El programa es muy apreciado por muchos por sus capacidades de detección y limpieza de malware.
El investigador de Google Tavis Ormandy alertado Malwarebytes a principios de noviembre de 2015 a varias vulnerabilidades de seguridad que encontró en Malwarebytes Anti-Malware.
Malwarebytes logró parchear varias de estas vulnerabilidades del lado del servidor «en unos días», y está probando una nueva versión del software cliente internamente que planea lanzar en las próximas tres o cuatro semanas y que también parchea el problema en el lado del cliente.
Ormandy descubrió que el software obtiene actualizaciones de firmas a través de http. Si bien los datos están encriptados, descubrió que es bastante fácil para cualquiera desencriptarlos usando comandos OpenSSL.
MalwareBytes obtiene sus actualizaciones de firmas a través de HTTP, lo que permite un ataque intermedio. El protocolo implica descargar archivos YAML a través de HTTP para cada actualización desde http://data-cdn.mbamupdates.com. Aunque los archivos YAML incluyen una suma de comprobación MD5, ya que se sirve a través de HTTP y no está firmado, un atacante puede simplemente reemplazarlo.
Los atacantes tienen varias opciones a su disposición para aprovechar el problema.
Existen numerosas formas sencillas de convertir esto en ejecución de código, como especificar un archivo de destino en la configuración de red, escribir una nueva regla TXTREPLACE para modificar archivos de configuración o modificar una clave de registro con una regla REPLACE.
Malwarebytes confirmado la vulnerabilidad públicamente en una publicación reciente de blog que revela que está trabajando en una solución. La empresa anunció el lanzamiento del Programa de recompensas de errores de Malwarebytes ofreciendo recompensas por errores en efectivo de hasta $ 1000 por problemas reportados en la aplicación.
Los usuarios que ejecutan la versión premium o empresarial de la aplicación pueden protegerla habilitando el módulo de autoprotección integrado:
- Haga clic con el botón derecho en el icono de Malwarebytes Anti-Malware en la bandeja del sistema y seleccione la opción abierta.
- Cambie a Configuración> Configuración avanzada.
- Marque «Habilitar módulo de autoprotección» si aún no está habilitado.
La iniciativa Project Zero de Google reveló vulnerabilidades en productos de empresas de seguridad como AVG, Kaspersky, Sophos y TrendMicro en el pasado.