[CA6376] Explicación de inyección y apropiación de código mediante DoubleAgent

Resumen

Asesor de Clientes

ESET ha sido informado acerca de hallazgos en reportes de Cybellum que describe una técnica llamada DoubleAgent, utilizada para inyectar código y persistir en un equipo (por ejemplo, auto-run) mediante el mal uso de la función no documentada de Application Verifier de Microsoft.

La mayoría de los procesos de ESET ya eran inmunes a la vulnerabilidad; ESET agregó protección para procesos adicional que podrían ser utilizadas para explotar la vulnerabilidad (la protección agregada es distribuida automáticamente a todos los usuarios a través de una actualización de módulo). Adicionalmente, los derechos de administrador son necesarios para administrar ataques, lo cual reduce ampliamente las probabilidades.

Detalles

De acuerdo a los reportes, es posible editar las entradas del registro para los procesos que usan valores de Application Verifier de Microsoft para cargar cualquier librería desde el disco, abriendo así la posibilidad de cargar una librería maliciosa a la cual se le asignarán los permisos del proceso víctima. (El alcance de los procesos no se limita a aquellos de ESET, ni siquiera a procesos de productos antivirus solamente.)

Sin embargo, debe resaltarse que la gravedad de esta vulnerabilidad es considerada escasa debido a que los atacantes necesitan poseer privilegios de administrador en el equipo de la víctima para editar las entradas del registro.

Solución

ESET gradualmente implementa capas adicionales de seguridad que previenen ataques en el sistema operativo o en el mismo producto de seguridad. En todos los productos ESET para Windows, desde la versión 4, nuestra funcionalidad de Autodefensa se encuentra activada de manera predeterminada, lo cual previene la modificación de claves de registro de nuestros procesos claves y la última actualización hacia la versión 1273 del módulo HIPS, lanzada el 23 de marzo de 2017, que agrega el mismo nivel de protección par procesos adicionales de ESET que podrían ser objeto de mal uso para cargar librerías maliciosas. La actualización hacia el módulo es distribuida para todos los usuarios automáticamente, sin que sea necesario descargar o instalar nada.

Nota: Es requerido el reinicio del equipo hasta la primera instalación de su producto ESET para Windows con el fin de que la protección de Autodefensa se integre de manera completa.

Adicionalmente, el proceso principal de ESET ekrn.exe utiliza el llamado Servicio protegido en la versión 10 de los productos ESET en Windows 8.1 y versiones superiores y por ello no es posible explotar la vulnerabilidad de tal manera en las mencionadas versiones de Windows. El mismo nivel de protección se incluirá en las próximas versiones de los productos ESET corporativos.

Comentarios y soporte

Si persisten preguntas respecto a este suceso, por favor contáctenos a través de nuestro formulario de soporte.