Aunque tengamos nuestro ordenador protegido con un software antivirus es posible que no lo estemos al 100%. Los antivirus, como cualquier otro software, pueden tener fallos de seguridad que pueden comprometer nuestra integridad y exponernos ante posibles ataques informáticos. Esto es lo que le ha pasado al antivirus de Kaspersky, de quien se ha descubierto una nueva vulnerabilidad que ha podido estar comprometiendo la seguridad de los ordenadores que ejecutaran las versiones 2015 y 2016 de este software de seguridad.
La vulnerabilidad fue reportada a lo largo de este fin de semana por un investigador de seguridad de Google. Según el investigador de Google, que tampoco ha dado mucha información al respecto, afirma que el exploit que él había desarrollado para explotar esta vulnerabilidad funcionaba sin problemas en las versiones 2015 y 2016 del software Antivirus de Kaspersky.
Cuando el exploit consigue explotar este fallo de seguridad tiene lugar un desbordamiento de búfer que afecta al comportamiento global de la aplicación. Como podemos ver, el exploit consigue arrancar un proceso cualquiera (en este caso la calculadora) dentro del hilo de procesos de Kaspersky Antivirus, ejecutándose así con los mismos permisos que la herramienta de seguridad (es decir, con permisos totales) y evadiendo así las medidas de seguridad del sistema operativo y del propio antivirus al ser un proceso “de confianza”.
Aunque ni el investigador de seguridad ni Kaspersky lo han confirmado, este fallo de seguridad podría haber sido utilizado de forma remota para evadir la protección del Antivirus e infectar sistemas. Por suerte este ingeniero de Google decidió informar a Kaspersky en vez de hacer pública la información de la vulnerabilidad, publicando así la empresa un parche de seguridad en menos de 24 horas que solucionaba este fallo y volvía a proteger la integridad de su herramienta de seguridad.
Kaspersky asegura que aunque ya utilizan desde hace tiempo técnicas de protección contra la ejecución de software no deseado dentro de su memoria como Address Space Layout aleatorización (ASLR) y Data Execution Prevention (DEP), este fallo de seguridad les ha ayudado a mejorar sus algoritmos y evitar que algo similar pueda volver a ocurrir en el futuro.
La actualización se distribuye, igual que todas las demás, a través del centro de actualizaciones del propio Antivirus, por lo que los usuarios no deben hacer nada para actualizarse. Si por alguna razón tenemos las actualizaciones automáticas desactivadas debemos ejecutar la búsqueda de nuevas versiones (y de paso de nuevas firmas de virus) manualmente para poder estar seguros de usar una herramienta de seguridad fiable y sin vulnerabilidades.
Como hemos dicho, sólo se ha podido demostrar la efectividad del exploit en las versiones Antivirus. Se desconoce si las suites de seguridad más completas también se han visto afectadas por esta vulnerabilidad, sin embargo es probable que Kaspersky ya lo haya investigado y a la vez que ha publicado la actualización anterior haya solucionado también este fallo en sus demás herramientas.