¡UH oh! Vulnerabilidad crítica en el motor de análisis central de Symantec: reacción de la industria

0 83 4 minutos de lectura

El motor de análisis central de Symantec tiene una vulnerabilidad crítica que permite a los atacantes ejecutar código de forma remota en la máquina de una víctima con solo enviarles un correo electrónico o un enlace. La víctima ni siquiera necesita abrirlo. Solo tiene que ser escaneado por el programa AV. El motor de exploración utiliza un controlador de filtro para interceptar las operaciones de E / S a nivel del kernel. En su aviso, Symantec admitido la existencia del defecto. Dijo que había sido notificado de un problema crítico en el motor de escaneo AVE al analizar archivos de encabezado ejecutables portátiles (PE) malformados entrantes.
“Estos archivos PE con formato incorrecto se pueden recibir a través de correos electrónicos entrantes, descarga de un documento o aplicación, o visitando un sitio web malicioso. No se requiere la interacción del usuario para activar el análisis del archivo con formato incorrecto ”, decía el aviso.
El Gurú preguntó a varios expertos en seguridad qué pensaban de esta vulnerabilidad.
Adam Vincent, director ejecutivo de ThreatConnect Inc:
“No creo que nadie en la industria de la ciberseguridad crea que existe un sistema 100% reforzado, sin importar cuán grande sea su organización o cuán talentoso sea. Entonces, encontrar una vulnerabilidad no debería ser noticia. En este caso, desafortunadamente, este es el Godzilla de las vulnerabilidades, lo que hace que todas las demás parezcan pequeñas e insignificantes.
Symantec actuó rápidamente cuando se descubrió esto. Aplaudimos su velocidad de comunicación y respuesta. En lugar de separar una vulnerabilidad en particular, debemos comprender el riesgo que proviene de una vulnerabilidad de esta magnitud y admitir que existen brechas en nuestra seguridad que permiten que las vulnerabilidades, ya sean del tamaño de Godzilla o aparentemente inocuas, sean explotadas. La velocidad a la que evoluciona la tecnología y la complejidad de cómo responder crea huecos que permiten a los atacantes afianzarse en su negocio.
Trabajamos con organizaciones de todos los tamaños en diferentes verticales, y vemos que los de mejor desempeño abordan el mismo problema: la fragmentación de su seguridad. Buscan no solo parchear la última vulnerabilidad, sino encontrar formas de conectar a las personas de su organización, desde su equipo de GRC y su equipo de IR, hasta sus socios de la cadena de suministro y pares en su industria, para beneficiarse del conocimiento de los demás. Luego, utilizan la inteligencia derivada de esa colaboración para dar un paso más a través de la integración de sus muchas herramientas. Y todo eso conduce a una detección y respuesta rápidas que abordan la próxima vulnerabilidad o amenaza encontrada de una manera sistemática y basada en procesos.
Gartner predice que para 2020, el 60% de los presupuestos de seguridad de la información empresarial se asignarán a enfoques rápidos de detección y respuesta. Todos deberíamos preguntarnos si estamos haciendo esas inversiones ahora para cerrar las brechas en nuestra seguridad y adelantarnos a las amenazas que enfrentamos ”.
Fraser Kyne, director regional de SE en Bromium:
“El hecho de que el AV no es suficiente para protegerse de las amenazas modernas ha sido aceptado en la industria durante mucho tiempo, incluso por los propios proveedores de AV. Sin embargo, la comprensión de que el software de seguridad en sí mismo puede introducir nuevas vulnerabilidades será un shock para muchos. Hay una regla simple: más código equivale a más vulnerabilidades. Cuando instala software, lo agrega a la superficie de ataque de la máquina. AV no es una excepción. Agregue a esto que las tasas de detección de malware son terribles, y que la detección en concepto es en gran medida inútil para el malware polimórfico, dirigido, de 0 días, y comienza a cuestionar el uso de antivirus en absoluto. Tenemos que reducir la superficie de ataque de nuestros sistemas y aislar eficazmente la actividad peligrosa de nuestros importantes procesos comerciales. El concepto de que tenemos un sistema confiable que también se utiliza para navegar por Internet y abrir correos electrónicos nos obliga a tomar esto en serio o enfrentar las consecuencias. La sabiduría común es aplicar un enfoque en capas de defensa en profundidad. Pero si hace esto sin capas de separación / aislamiento y confía en la detección en cada capa, entonces se está engañando a sí mismo y desperdiciando su dinero. Se deben considerar herramientas como la microvirtualización para llenar los vacíos «.
Aftab Afzal, vicepresidente senior y GM EMEA en NSFOCUS IB:
“Este es un incidente muy desafortunado para Symantec, sin embargo, ninguna solución de seguridad es infalible, por eso la defensa en profundidad con controles de varios niveles es siempre el enfoque recomendado. Los vectores de ataque continúan evolucionando, y esta claramente no es la primera vez que vemos que se invierte la ingeniería del antivirus. El punto final es el último en la línea, por lo tanto, la implementación de entornos de nube, perímetro o sandbox limitará el impacto. El uso de la inteligencia de amenazas y vulnerabilidades más reciente, mientras trabaja con una amplia gama de proveedores, puede reducir el riesgo. La selección inteligente de proveedores cubrirá la mayoría de los presupuestos «.
Federico de la Mora, VP EMEA en Lastline:
“Las herramientas antivirus ofrecen beneficios limitados, si los hay. Es probable que el proveedor de servicios de correo electrónico o una puerta de enlace de correo electrónico basada en firmas detenga casi todos los virus o malware conocidos antes de que lleguen al cliente de correo electrónico. Sin embargo, es probable que los antivirus basados en firmas pierdan la mayoría de los ataques de días cero y dirigidos que se esconden en los archivos adjuntos de correo electrónico y los enlaces URL. Irónicamente, los navegadores web son otra puerta para que el malware ingrese a la organización. Sin embargo, los navegadores modernos son muy capaces de bloquear sitios web basados en una lista negra, por ejemplo, para advertir a los usuarios cuando acceden a sitios web utilizados para ataques de phishing. Según mis conversaciones con algunos clientes, existe cierta frustración dentro de la comunidad de usuarios finales sobre las limitaciones de las soluciones basadas en firmas y la necesidad de detección y protección automatizadas contra ataques de día cero y dirigidos «.

¡UH oh! Vulnerabilidad crítica en el motor de análisis central de Symantec: reacción de la industria

Deja una respuesta Cancelar la respuesta

Sitio web más vulnerable a ataques con funciones de terceros.

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Se pide a la industria del Reino Unido que ayude a los jóvenes a evitar una carrera en el ciberdelito

La nueva fecha de inicio anunciada para Pron Blcok será el 15 de julio después del retraso.

El ataque a la infraestructura nacional crítica es inminente, dice más de la mitad de los encuestados en la encuesta de Infosecurity Europe.

Personas que nos han cautivado durante más de 25 años

Deja una respuesta Cancelar la respuesta

Sitio web más vulnerable a ataques con funciones de terceros.