Antivirus poco seguros: descubren dos grandes vulnerabilidades en Avast y AVG

Los antivirus deberían ser uno de los productos informáticos más herméticos, teniendo en cuenta que se encargan principalmente de la seguridad de nuestros equipos. Sin embargo, tanto Avast como AVG, dos de los más conocidos, tenían dos vulnerabilidades de alta gravedad que no han sido detectadas durante diez años.

Por suerte, los investigadores que han dado con estas dos graves vulnerabilidades existentes desde 2012 ya las han podido corregir, pero podrían haber afectado a decenas de millones de usuarios en todo el mundo.

Vulnerabilidades CVE-2022-26522 y CVE-2022-26523

Los investigadores de SentinelLabs han sido quienes han descubierto, arreglado y dado a conocer estas dos vulnerabilidades: CVE-2022-26522 y CVE-2022-26523, presentes tanto en Avast como AVG.

Avast y AVG

Avast y AVG

En su aviso de seguridad, SentinelLabs explica que estas vulnerabilidades permiten a los atacantes escalar privilegios que les permiten deshabilitar productos de seguridad, sobrescribir componentes del sistema, corromper el sistema operativo o realizar operaciones maliciosas sin obstáculos.

«Avast es un participante activo en el proceso de divulgación coordinada de vulnerabilidades, y agradecemos que SentinelOne haya colaborado con nosotros y haya proporcionado un análisis detallado de las vulnerabilidades identificadas. SentinelOne nos informó de dos vulnerabilidades, ahora rastreadas como CVE-2022-26522 y CVE-2022-26523, el 20 de diciembre de 2021. Trabajamos en una corrección publicada en la versión 22.1 en febrero de 2022 y notificamos a SentinelOne esta corrección aplicada».

Dichas fallas se pusieron en conocimiento de Avast en diciembre de 2021 y la compañía, que también es la propietaria de AVG tras su compra en 2016, ha lanzado actualizaciones de seguridad para abordar estas vulnerabilidades. La mayoría de los usuarios de Avast y AVG recibirán el parche (versión 22.1) automáticamente, ya que está disponible desde el mes de febrero 2022. Por el momento estos investigadores no tienen constancia de evidencias de abuso de este exploit a gran escala.

«Los usuarios de Avast y AVG se actualizaron automáticamente y están protegidos contra cualquier riesgo de explotación, aunque no hemos visto que se haya abusado de las vulnerabilidades en la práctica. Recomendamos a nuestros usuarios de Avast y AVG que actualicen constantemente su software a la última versión para estar protegidos. La divulgación coordinada es una forma excelente de evitar que los riesgos se manifiesten en ataques, y animamos a participar en nuestro programa de recompensas por errores».

Vulnerabilidades presentes en Avast desde 2012

Estas dos vulnerabilidades, bastante similares en su funcionamiento, residen en un controlador de kernel anti-rootkit legítimo llamado aswArPot.sys y se dice que se introdujeron en la versión 12.1 de Avast, que se lanzó en junio de 2016.

Amenazas seguridad

Amenazas seguridad

Si bien no hay evidencia de que se haya abusado de estas vulnerabilidades a gran escala, la revelación se produce pocos días después de que Trend Micro detallara un ataque de ransomware AvosLocker, que aprovechó otro problema en el mismo controlador para finalizar las soluciones antivirus en el sistema comprometido.

AvosLocker, una de las familias de ransomware más nuevas para llenar el vacío dejado por REvil, desactiva las soluciones antivirus para evadir la detección después de violar las redes de destino aprovechando las fallas de seguridad sin parches.

«Esta es la primera muestra que observamos de los EE. UU. con la capacidad de desactivar una solución de defensa usando un archivo legítimo del controlador Avast Anti-Rootkit (asWarPot.sys)», dijeron los investigadores de Trend Micro, Christoper Ordonez y Alvin Nieto.

Avast es solamente una de las muchas soluciones de seguridad disponibles en el mercado. A pesar de que estas dos graves vulnerabilidades ya han sido corregidas, quizás prefieras decantarte por un antivirus alternativo a Avast y AVG.

¡Sé el primero en comentar!