Todo lo que tienes que saber sobre la vulnerabilidad DoubleAgent
Mucho se ha escrito sobre una vulnerabilidad día cero llamada DoubleAgent. Según el proveedor de seguridad Cybellum, se trata de una desagradable amenaza que puede ser usada para comprometer el antivirus.
Pero ¿es realmente una amenaza? No exactamente.
Sophos ha realizado su propia investigación para comprobar si le afecta dicha amenaza. Hasta ahora la respuesta es no. Pero esta historia no se acaba en si el antivirus puede ser atacado.
En una discusión en el foro KernelMode.info sobre los descubrimientos de Cybellum, se comentó que se trataba de una vulnerabilidad de una herramienta de Windows sin documentar, pero ya lo estaba desde agosto de 2012.
Por otra parte, Alex Ionescu, vicepresidente de CrowdStrike, reclamaba en una serie de tuits que Cybellum había copiado y distorsionado su propio informe.
Con todo esto en la cabeza, vamos a examinar la vulnerabilidad, cuando fue realmente descubierta y que hace Sophos para proteger a sus clientes.
DoubleAgent
DoubleAgent se aprovecha de una herramienta legítima de Windows llamada Microsoft Application Verifier, de manera que, supuestamente, convierte a los antivirus de algunos fabricantes en herramientas para espiar el ordenador y la red local en que se encuentre.
Al camuflarse dentro del antivirus es muy difícil de detectar, por lo que gana mucha persistencia permaneciendo en el sistema todo el tiempo que el atacante quiera.
El problema se centra en el Microsoft Application Verifier: una aplicación que se usa para que los desarrolladores realicen verificaciones rutinarias de su software para buscar y reparar errores.
Microsoft documentó esta herramienta en agosto de de 2012, donde la describía como una herramienta dinámica de verificación que podía descubrir errores sutiles de programación, complicados de detectar empleando otros medios.
Factores atenuantes
Varios fabricantes de antivirus que estaban considerados como potencialmente vulnerables, afirmaron la semana pasada que habían parcheado sus aplicaciones por lo que no corrían ningún riesgo. Tanto si usas Intercept X o Sophos Endpoint no tienes nada que temer. En la próxima actualización de Intercept X, protegerá a cualquier aplicación instalada de esta amenaza, no solo al antivirus.
DoubleAgent es otra amenaza que saca ventaja de los privilegios de administrador. Intercept X protege a sus usuarios de este tipo de amenazas. Este es otro recordatorio de que los privilegios de administrador deben usarse en pocas ocasiones. En otras palabras, solo se deben usar cuando se necesiten, el resto del tiempo se debería emplear una cuenta sin esos permisos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario