La falla negli antivirus che libera il malware dalla quarantena

AVGator rimette in circolazione tutti i malware catturati.



[ZEUS News - www.zeusnews.it - 13-11-2017]

antivirus quarentena

Gli antivirus svolgono una funzione preziosa: individuano il malware e lo mettono in condizione di non nuocere, generalmente relegandolo in una sorta di prigione nota come "quarantena".

L'esperto di sicurezza Florian Bogner ha però scoperto una falla che, se sfruttata, permette a un malintenzionato di liberare tutti i prigionieri della quarantena e rimetterli in condizione di fare danni nel Pc.

Fortunatamente, il sistema non funziona con tutti gli antivirus, e anche tra quelli interessati dal problema molti hanno già rilasciato una patch o sono sul punto di farlo.

Bogner ha soprannominato la vulnerabilità AVGater e ha realizzato un video in cui ne viene illustrato il funzionamento (lo riportiamo più sotto).

Il trucco consiste nel manipolare il processo di ripristino dei file dalla quarantena, una possibilità che gli antivirus normalmente offrono agli utenti nel caso venga individuato un falso positivo, ossia un file legittimo venga trattato da malware.

AVGater permette a un utente non privilegiato, che abbia fatto login sulla macchina, di ripristinare un file dalla Quarantena e di salvare in qualunque punto del filesystem.

Tale operazione diventa possibile - spiega il ricercatore - perché «il processo di ripristino generalmente è condotto dal servizio AV in modalità utente, e in possesso i privilegi necessari».

Abusando poi di una caratteristica del file system NTFS (le directory junctions), l'autore dell'attacco può salvare il file prelevato dalla quarantena anche in percorsi importanti, come C:\Program Files o C:\Windows, dove l'utente con cui è stato effettuato il login di norma non potrebbe scrivere.

Sondaggio
Puoi scegliere una sola pillola: quale delle tre?
Pillola blu: rimani giovane per sempre
Pillola verde: 1.000.000.000 euro in contanti
Pillola rossa: puoi viaggiare nel tempo in qualsiasi istante

Mostra i risultati (2272 voti)
Leggi i commenti (22)

Se il file in questione è una Dll, è possibile fare in modo che venga caricato da un processo dotato di privilegi elevati: così il malware viene eseguito.

Il pericolo è teoricamente serio, ma viene mitigato da un dettaglio importante: per poter portare a termine un attacco tramite AVGator è necessario avere accesso fisico alla macchina.

Per gli utenti domestici, quindi, la minaccia è più teorica che reale. Negli ambiente aziendali, dove invece è possibile che più persone operaino sui computer, la serietà del pericolo è maggiore.

Con la tecnica indicata da Bogner, infatti, un impiegato scontento titolare di un utente con scarsi privilegi potrebbe comunque ottenere accesso alla quarantena e scatenare nel sistema informatico interno quei malware che l'antivirus aveva così coscienziosamente catturato.

Per prevenire scenari di questo tipo anche in carenza di patch, la soluzione è evidente: disattivare la funzionalità di quarantena e impostare i programmi di sicurezza affinché non offrano agli utenti normali la possibilità di ripristinare le minacce rilevate.

Qui sotto, il video realizzato da Florian Bogner.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

Francamente mi sembra una minaccia potenzialmente seria ma, in pratica, poco pericolosa.
18-11-2017 14:37

Non si chiama falla, si chiama indulto! :lol:
17-11-2017 12:59

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Il Garante Privacy ha istituito - ormai da anni - un servizio che in teoria dovrebbe tutelare la privacy dei cittadini iscritti, vietando ai call center di chiamare i loro numeri telefonici. Secondo la tua esperienza, il Registro delle Opposizioni funziona?
S. Sono iscritto e non mi scocciano praticamente mai.
Non lo so. Non sono iscritto.
No. Sono iscritto e continuo a ricevere telefonate con proposte commerciali.

Mostra i risultati (3039 voti)
Dicembre 2022
L'app open source per vedere YouTube senza seccature
Novembre 2022
L'app per scaricare l'intera Wikipedia (e non solo)
La scorciatoia che sblocca Windows
Amazon Drive chiude i battenti
Le cinque migliori alternative a Z Library
Il visore VR che uccide i giocatori quando perdono
Gli Stati Uniti oscurano Z Library
Vodafone, sottratti oltre 300 GB di dati degli utenti
Pochi o tanti, ma contanti
Ottobre 2022
Chrome si prepara ad abbandonare i Windows ''vecchi''
iPhone 14, nessuno lo vuole?
Windows 11, in arrivo il primo "Momento"
TikTok, arrivano i contenuti per soli adulti
Addio Office, benvenuta Microsoft 365
La truffa del cosmonauta bloccato nello spazio
Tutti gli Arretrati
Accadde oggi - 4 dicembre


web metrics