La falla negli antivirus che libera il malware dalla quarantena

AVGator rimette in circolazione tutti i malware catturati.



[ZEUS News - www.zeusnews.it - 13-11-2017]

antivirus quarentena

Gli antivirus svolgono una funzione preziosa: individuano il malware e lo mettono in condizione di non nuocere, generalmente relegandolo in una sorta di prigione nota come "quarantena".

L'esperto di sicurezza Florian Bogner ha però scoperto una falla che, se sfruttata, permette a un malintenzionato di liberare tutti i prigionieri della quarantena e rimetterli in condizione di fare danni nel Pc.

Fortunatamente, il sistema non funziona con tutti gli antivirus, e anche tra quelli interessati dal problema molti hanno già rilasciato una patch o sono sul punto di farlo.

Bogner ha soprannominato la vulnerabilità AVGater e ha realizzato un video in cui ne viene illustrato il funzionamento (lo riportiamo più sotto).

Il trucco consiste nel manipolare il processo di ripristino dei file dalla quarantena, una possibilità che gli antivirus normalmente offrono agli utenti nel caso venga individuato un falso positivo, ossia un file legittimo venga trattato da malware.

AVGater permette a un utente non privilegiato, che abbia fatto login sulla macchina, di ripristinare un file dalla Quarantena e di salvare in qualunque punto del filesystem.

Tale operazione diventa possibile - spiega il ricercatore - perché «il processo di ripristino generalmente è condotto dal servizio AV in modalità utente, e in possesso i privilegi necessari».

Abusando poi di una caratteristica del file system NTFS (le directory junctions), l'autore dell'attacco può salvare il file prelevato dalla quarantena anche in percorsi importanti, come C:\Program Files o C:\Windows, dove l'utente con cui è stato effettuato il login di norma non potrebbe scrivere.

Sondaggio
Puoi scegliere una sola pillola: quale delle tre?
Pillola blu: rimani giovane per sempre
Pillola verde: 1.000.000.000 euro in contanti
Pillola rossa: puoi viaggiare nel tempo in qualsiasi istante

Mostra i risultati (2513 voti)
Leggi i commenti (24)

Se il file in questione è una Dll, è possibile fare in modo che venga caricato da un processo dotato di privilegi elevati: così il malware viene eseguito.

Il pericolo è teoricamente serio, ma viene mitigato da un dettaglio importante: per poter portare a termine un attacco tramite AVGator è necessario avere accesso fisico alla macchina.

Per gli utenti domestici, quindi, la minaccia è più teorica che reale. Negli ambiente aziendali, dove invece è possibile che più persone operaino sui computer, la serietà del pericolo è maggiore.

Con la tecnica indicata da Bogner, infatti, un impiegato scontento titolare di un utente con scarsi privilegi potrebbe comunque ottenere accesso alla quarantena e scatenare nel sistema informatico interno quei malware che l'antivirus aveva così coscienziosamente catturato.

Per prevenire scenari di questo tipo anche in carenza di patch, la soluzione è evidente: disattivare la funzionalità di quarantena e impostare i programmi di sicurezza affinché non offrano agli utenti normali la possibilità di ripristinare le minacce rilevate.

Qui sotto, il video realizzato da Florian Bogner.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

Francamente mi sembra una minaccia potenzialmente seria ma, in pratica, poco pericolosa.
18-11-2017 14:37

Non si chiama falla, si chiama indulto! :lol:
17-11-2017 12:59

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Una donna è stata querelata per una recensione negativa di un ristorante scritta su Trip Advisor. Quale di queste affermazioni trovi più vicina al tuo pensiero?
Non è giusto che un'opinione scritta su Internet sia considerata pari a un articolo su un giornale. Bisogna rivedere al più presto le leggi sulla difesa dell'onore e sulla diffamazione.
E' giusto che anche sui forum o su Facebook o sui siti di recensioni si applichino le leggi relative alla diffamazione. Un'opinione negativa può rovinare la reputazione di un locale.
Gli utenti devono poter esprimere con la massima libertà la propria opinione su ristoranti, alberghi, ma anche prodotti o servizi acquistati. Un'opinione negativa non dovrebbe essere considerata diffamazione.
Trovo che oggi più che mai sia necessario prestare la massima attenzione a quello che si scrive online.
Le recensioni su Internet sono in gran parte inaffidabili: quelle positive sono scritte dai proprietari, quelle negative dalla concorrenza. In ogni caso l'opinione dei pochi singoli onesti non è significativa.
Vorrei dire la mia sul forum di Zeus News ma temo che prima dovrei procurarmi un buon avvocato, non si sa mai.

Mostra i risultati (4278 voti)
Luglio 2026
WhatsApp, al via la prenotazione dei nomi utente
Giugno 2026
Hackerata Trenitalia, rubati i dati di viaggio dei passeggeri
L'UE approva l'euro digitale
L'avanzata delle dark factory: 1300 lavoratori sostituiti da 50 robot
Il telefono minimalista di Commodore che sfida gli smartphone tradizionali
Recesso online, obbligatorio il pulsante su tutti gli e-commerce
Il simulatore di volo di Google Earth
Windows Ready Print rivoluziona la stampa: addio ai driver proprietari
Debutta Euro-Office tra le proteste di LibreOffice
Lo strumento che ti dice quali modelli IA puoi eseguire davvero sul tuo PC
ChatGPT, arriva Lockdown Mode
Iliad lancia il suo FWA: modem 5G, attivazione rapida e velocità fino a 300 Mbps
Microsoft: sistema operativo e app sono al capolinea. È l'ora degli agenti IA
Quousque tandem abutere, Ursula, patientia nostra?
Grave falla in 7-Zip
Tutti gli Arretrati
Accadde oggi - 1 luglio


web metrics