F-Secure ha corregido una grave
vulnerabilidad en su familia de antivirus personales y empresariales,
relacionada con la librería 7-Zip y el procesamiento de ficheros comprimidos
RAR, que podría generar una ejecución remota de código.
El investigador en seguridad landave,
ha publicado un extenso análisis de la vulnerabilidad ya corregida en 7-Zip
(CVE-2018-10115) que permitiría a cualquier atacante, mediante la distribución
de ficheros RAR especialmente manipulados, ejecutar código arbitrario en la
máquina o dispositivo de la víctima
La vulnerabilidad, presente en el
código de la librería 7-zip, estaba causada por una incorrecta inicialización
de objetos que, conjuntamente con técnicas para evadir la protección ASLR,
conseguiría tomar el control del sistema con permisos NT AUTHORITY\SYSTEM.
En el siguiente vídeo se demuestra la
ejecución remota de código, invocando el bloc de notas al visitar un website
malicioso:
Debido a las características de esta
vulnerabilidad, se vería afectada toda la familia de productos de F-Secure,
facilitándose las actualizaciones automáticas oporturnas:
- F-Secure SAFE Windows
- F-Secure Client Security
- F-Secure Client Security Premium
- F-Secure Server Security
- F-Secure Server Security Premium
- F-Secure PSB Server Security
- F-Secure Email y Server Security
- F-Secure Email y Server Security Premium
- F-Secure PSB Email y Server Security
- F-Secure PSB Workstation Security
- F-Secure Computer Protection
- F-Secure Computer Protection Premium
También se alerta que, debido al
extenso uso de esta librería, otras firmas antivirus se podrían ver afectadas,
como Malwarebytes.
Más
información:
·
F-Secure
Anti-Virus: Remote Code Execution via Solid RAR Unpacking https://landave.io/2018/06/f-secure-anti-virus-remote-code-execution-via-solid-rar-unpacking/
·
FSC-2018-2:
Remote Code Execution in F-Secure Windows Endpoint Protection Products https://www.f-secure.com/en/web/labs_global/fsc-2018-2
Fuente: Hispasec.com