SafeBreach detecta 3 vulnerabilidades principales con Trend Micro, Autodesk y Kaspersky
Desde entonces, los problemas se han parcheado o resuelto, pero los investigadores dicen que representan un paso preocupante en la forma en que los atacantes pueden manipular los sistemas de seguridad confiables.
SafeBreach Labs encontró tres impactos Máxima seguridad de Trend Micro software, Aplicación de escritorio de Autodesk software y Conexión segura de Kasperskyun cliente VPN adjunto a Kaspersky Internet Security.
Las empresas han parcheado o abordado las vulnerabilidades, pero Peleg Hadar, investigador principal de SafeBreach, dijo que representan un paso preocupante en la forma en que los atacantes pueden manipular los sistemas de seguridad confiables. Cada vulnerabilidad se descubrió en julio o agosto, y SafeBreach trabajó con las empresas para abordarlas.
«Todos son similares, pero TrendMicro y AutoDesk son más críticos porque en algunos casos no se necesita un administrador para desencadenar una vulnerabilidad», dijo Hadar.
«El más crítico de los tres es Trend Micro, porque te permite ejecutar código malicioso en el proceso del propio antivirus, por lo que básicamente puedes pasar por alto cualquier cosa, puedes hacer cosas maliciosas y el antivirus no lo detectará. »
Mirar: Informe especial: Estrategias ganadoras para la ciberseguridad (PDF gratuito) (República Tecnológica Premium)
Trend Micro Maximum Security está diseñado para proteger los dispositivos de amenazas como ransomware, virus, malware, spyware y más. Pero la investigación de Hadar descubrió que partes del software podían manipularse y explotarse porque se ejecutaba como NT AUTHORITYSYSTEM, una cuenta de usuario con el privilegio más alto.
Con esto, un atacante puede realizar evasión de defensa, persistencia y, en algunos casos, escalada de privilegios, obteniendo acceso a privilegios de nivel NT AUTHORITYSYSTEM.
Los piratas informáticos pueden ejecutar código malicioso a través de él porque el ejecutable del servicio está firmado por Trend Micro, lo que significa que puede evadir la detección, ya que se utiliza para eludir la lista blanca de aplicaciones.
«No creo que ninguno de estos haya sido explotado. Sé de una vulnerabilidad muy similar que se explotó recientemente. Este tipo de vulnerabilidad debe mitigarse», dijo Hadar.
La vulnerabilidad se encontró en Trend Micro Security 16.0.1221 y todas las versiones anteriores.Lanzamiento de la versión del parche, Trend Micro Boletín de seguridad emitido el 25 de noviembre.
En el anuncio, los funcionarios dijeron que la vulnerabilidad no ha sido explotada, pero «podría permitir que un atacante use un servicio específico como mecanismo de ejecución y/o persistencia para ejecutar un programa malicioso cada vez que se inicia el servicio».
Las fallas en el software de la aplicación de escritorio de Autodesk también involucran el uso malicioso de NT AUTHORITYSYSTEM. Según Hadar, los productos de Autodesk basados en Microsoft Windows de 2023 y posteriores tienen instalada la aplicación de escritorio de Autodesk. El software es responsable de administrar las actualizaciones de productos, las nuevas versiones y los parches de seguridad para los suscriptores.
Autodesk no parecía haber emitido un boletín de seguridad, pero los funcionarios le dijeron a SafeBreach el 15 de noviembre que lo tendrían hasta el 26 de noviembre.
Hadar descubrió la misma vulnerabilidad que Kaspersky Secure Connection, la empresa lanzó un parche el 21 de noviembre y emitir una consulta 2 de diciembre.
«El hecho más importante de estos es que pueden permitir que un atacante haga algo en nombre de la empresa en el software», dijo Hadar. «Esto es lo más importante. Cuando un atacante obtiene acceso a una de las vulnerabilidades, le permite ejecutarse bajo un shell de software».
“Si soy un atacante y estoy usando el exploit de Kaspersky, una vez que lo haga, otro software pensará que soy Kaspersky, por lo que puedo disfrazar mi actividad maliciosa porque el proceso está firmado”, agregó.
