Lo que hace AVGater es aprovechar la función de cuarentena de las soluciones antivirus para reubicar el malware y obtener el control total de la máquina. El primer punto del proceso consiste en que la víctima recibe un archivo malicioso a través de un correo phishing, que es detectado por el antivirus y movido a la carpeta de cuarentena.
A continuación, el atacante tiene que tener acceso físico al ordenador que quiere comprometer, aunque no es necesario que tenga permisos de administrador. Una vez en el equipo, lo que hace el criminal es manipular el proceso de restauración abusando de los puntos junction de NTFS, lo que le permite colocar el fichero en cualquier ubicación sensible que desee, como C:\Windows o C:\Archivos de programa. Como consecuencia, el fichero malicioso es cargado por otro proceso para infectar el PC con malware y conceder al atacante todos los permisos.
Bogner descubrió esta vulnerabilidad mientras identificaba debilidades en las redes de sus clientes empresariales. En las pruebas de concepto, este investigador fue capaz de conseguir privilegios locales de administrador utilizando su exploit en diferentes equipos de empleados con permisos limitados, lo que le proporcionó acceso a la base de datos SAM (Single Account Manager) desde la que se pueden crear nuevas cuentas de usuario y de grupo.
Además de las compañías que ya han parcheado el fallo de seguridad, el experto ha detectado en estos días otros antivirus que son vulnerables a AVGater, pero ya está trabajando con ellos para poner una solución. Bogner no ha revelado cuáles son las marcas afectadas que todavía no han puesto remedio a la vulnerabilidad.
