Ejecución remota de código en la familia antivirus F-Secure
F-Secure ha corregido una grave vulnerabilidad en su familia de antivirus personales y empresariales, relacionada con la librería 7-Zip y el procesamiento de ficheros comprimidos RAR, que podría generar una ejecución remota de código.
El investigador en seguridad landave, ha publicado un extenso análisis de la vulnerabilidad ya corregida en 7-Zip (CVE-2018-10115) que permitiría a cualquier atacante, mediante la distribución de ficheros RAR especialmente manipulados, ejecutar código arbitrario en la máquina o dispositivo de la víctima
La vulnerabilidad, presente en el código de la librería 7-zip, estaba causada por una incorrecta inicialización de objetos que, conjuntamente con técnicas para evadir la protección ASLR, conseguiría tomar el control del sistema con permisos NT AUTHORITYSYSTEM.
En el siguiente vídeo se demuestra la ejecución remota de código, invocando el bloc de notas al visitar un website malicioso:
Fuente: landave.io
Debido a las características de esta vulnerabilidad, se vería afectada toda la familia de productos de F-Secure, facilitándose las actualizaciones automáticas oporturnas:
- F-Secure SAFE Windows
- F-Secure Client Security
- F-Secure Client Security Premium
- F-Secure Server Security
- F-Secure Server Security Premium
- F-Secure PSB Server Security
- F-Secure Email y Server Security
- F-Secure Email y Server Security Premium
- F-Secure PSB Email y Server Security
- F-Secure PSB Workstation Security
- F-Secure Computer Protection
- F-Secure Computer Protection Premium
También se alerta que, debido al extenso uso de esta librería, otras firmas antivirus se podrían ver afectadas, como Malwarebytes.
José Mesa
@jsmesa
@jsmesa
Más información:
F-Secure Anti-Virus: Remote Code Execution via Solid RAR Unpacking
https://landave.io/2018/06/f-secure-anti-virus-remote-code-execution-via-solid-rar-unpacking/
FSC-2018-2: Remote Code Execution in F-Secure Windows Endpoint Protection Products
https://www.f-secure.com/en/web/labs_global/fsc-2018-2
Powered by WPeMatico