Tal como podemos ver en el informe de SafeBreach, varios antivirus populares para Windows, como Microsoft Defender, Avast, AVG y Trend Micro, se han visto afectados por un fallo que permitía a cualquier acatante, sin permisos en el equipo, obligarles a eliminar archivos del sistema sobre los que el antivirus no debería tener permisos. Esto puede dar lugar a errores y problemas con el propio sistema operativo, a la eliminación de archivos personales del usuario, e incluso puede llegar a hacer que nuestro sistema quede totalmente inaccesible y sea imposible de arrancar.
Los investigadores que han detectado este problema lo han clasificado como un exploit del tipo «data wiper». Puesto que los antivirus son programas excelentes para eliminar archivos (ya que es una de sus finalidades), y se ejecutan siempre con el mayor nivel de privilegios para poder actuar frente al malware, este fallo de seguridad supone un grave problema para los usuarios.
Un ejemplo de este fallo es sencillo. Creamos un directorio falso, por ejemplo, C:/temp/Windows/System32/drivers, y copiamos en el un archivo potencialmente peligroso que tenga el nombre de un archivo real de Windows, como ‘ndis.sys’. Este archivo lo mantenemos abierto para evitar que el antivirus lo pueda eliminar, y, cuando lo detecta, se crea una orden de borrado para este archivo. Y este, como está abierto, se borrará tras un reinicio.
Una vez creada la orden de borrado, y antes de reiniciar el PC, eliminamos todo el directorio ‘temp’ que hemos creado, y creamos una función para redirigir ‘temp’ a ‘C:/’. De esta manera el antivirus lo que estará haciendo es eliminar realmente ‘C:/Windows/System32/drivers/ndis.sys’, un fichero clave del sistema.
-¿Cómo solucionar este problema?
Tal como informan los investigadores de seguridad, más de la mitad de los antivirus que se han analizado son vulnerables a este problema. Por suerte, las firmas de seguridad no han tardado en corregir el problema, y ya han lanzado un parche de seguridad que corrige estos fallos para evitar que el antivirus pueda eliminar los archivos críticos del sistema sin permiso.
Si tenemos instalado en el ordenador el antivirus de Windows, Avast/AVG o Trend Micro, lo que debemos hacer es actualizar los antivirus a las últimas versiones, ya que estas solucionan este problema y hacen a estas soluciones de seguridad invulnerables al exploit. Por el contrario, si tenemos instalados otros antivirus, como McAfee o Bitdefender, debemos saber que estos no han sido vulnerables, y usarlos es seguro.
Si hemos notado que recientemente el ordenador ha empezado a funcionar mal, es posible que haya sido por este fallo. En ese caso, lo que podemos hacer es intentar restaurar el PC a un punto anterior para recuperar los archivos eliminados, ejecutar el comando ‘SFC /scannow’ para comprobar la integridad de todos los archivos de Windows y restaurar aquellos que falten o estén dañados, o, por último, reinstalar Windows para recuperar todos los archivos originales del sistema.