Antivirus: la quarantena è attaccabile

Il ricercatore di sicurezza Florian Bogner avrebbe rilevato una vulnerabilità presente in diverse soluzioni antivirus che, se non risolta, potrebbe pregiudicarne l'efficacia. Il bug prenderebbe il nome di AVGater e coinvolgerebbe il sistema che gestisce la quarantena con cui tali software isolano i file infetti.

Sfruttando AVGater un utente malintenzionato potrebbe spostare un malware dalla quarantena per posizionarlo in un'altra directory, senza che l'utilizzatore di un computer si accorga di tale procedura. Fatto questo prendere il controllo della postazioni colpita potrebbe risultare molto semplice, così come accedere ad informazioni riservate.

Continua dopo la pubblicità...

Il bug sfrutta il fatto che per il ripristino dei file in quarantena non sono necessari privilegi di amministrazione, per far questo è sufficiente fare ricorso ad una funzionalità fornita nativamente da Windows che prende il nome di NTFS junction point. Ad aggravare la situazione vi sarebbe poi un altra feature del sistema, DLL Search Order, che permette di spostare file in directory protette da scrittura.

Verrebbe così spianata la strada all'esecuzione di codice arbitrario, il tutto disponendo di permessi di accesso non particolarmente elevati. Una problematica che riguarderebbe buona parte delle applicazioni antivirus attualmente in commercio, tutte dotate di un meccanismo di quarantena dal funzionamento molto semplice.

Alcune delle software house interessate sarebbero state già contattate per la segnalazione della vulnerabilità tra di esse vi sarebbero anche Kaspersky, Trend Micro e ZoneAlarm, altre dovrebbero ricevere tutti i dettagli a riguardo nel corso delle prossime ore in modo che posssano distribuire gli aggiornamenti necessari per eliminare il problema.

I commenti degli utenti

I commenti sono sottoposti alle linee guida di moderazione e prima di essere visibili devono essere approvati da un moderatore.