La falla negli antivirus che libera il malware dalla quarantena
AVGator rimette in circolazione tutti i malware catturati.
[ZEUS News - www.zeusnews.it - 13-11-2017]
Gli antivirus svolgono una funzione preziosa: individuano il malware e lo mettono in condizione di non nuocere, generalmente relegandolo in una sorta di prigione nota come "quarantena".
L'esperto di sicurezza Florian Bogner ha però scoperto una falla che, se sfruttata, permette a un malintenzionato di liberare tutti i prigionieri della quarantena e rimetterli in condizione di fare danni nel Pc.
Fortunatamente, il sistema non funziona con tutti gli antivirus, e anche tra quelli interessati dal problema molti hanno già rilasciato una patch o sono sul punto di farlo.
Bogner ha soprannominato la vulnerabilità AVGater e ha realizzato un video in cui ne viene illustrato il funzionamento (lo riportiamo più sotto).
Il trucco consiste nel manipolare il processo di ripristino dei file dalla quarantena, una possibilità che gli antivirus normalmente offrono agli utenti nel caso venga individuato un falso positivo, ossia un file legittimo venga trattato da malware.
AVGater permette a un utente non privilegiato, che abbia fatto login sulla macchina, di ripristinare un file dalla Quarantena e di salvare in qualunque punto del filesystem.
Tale operazione diventa possibile - spiega il ricercatore - perché «il processo di ripristino generalmente è condotto dal servizio AV in modalità utente, e in possesso i privilegi necessari».
Abusando poi di una caratteristica del file system NTFS (le directory junctions), l'autore dell'attacco può salvare il file prelevato dalla quarantena anche in percorsi importanti, come C:\Program Files o C:\Windows, dove l'utente con cui è stato effettuato il login di norma non potrebbe scrivere.
Se il file in questione è una Dll, è possibile fare in modo che venga caricato da un processo dotato di privilegi elevati: così il malware viene eseguito.
Il pericolo è teoricamente serio, ma viene mitigato da un dettaglio importante: per poter portare a termine un attacco tramite AVGator è necessario avere accesso fisico alla macchina.
Per gli utenti domestici, quindi, la minaccia è più teorica che reale. Negli ambiente aziendali, dove invece è possibile che più persone operaino sui computer, la serietà del pericolo è maggiore.
Con la tecnica indicata da Bogner, infatti, un impiegato scontento titolare di un utente con scarsi privilegi potrebbe comunque ottenere accesso alla quarantena e scatenare nel sistema informatico interno quei malware che l'antivirus aveva così coscienziosamente catturato.
Per prevenire scenari di questo tipo anche in carenza di patch, la soluzione è evidente: disattivare la funzionalità di quarantena e impostare i programmi di sicurezza affinché non offrano agli utenti normali la possibilità di ripristinare le minacce rilevate.
Qui sotto, il video realizzato da Florian Bogner.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
Commenti all'articolo (2)
18-11-2017 14:37
|
|
||
|
- Al caffe' dell'Olimpo:
[GIOCO] L'utente dopo di me - Reti:
WiFi poco efficiente con il router fornito da Sky? - Programmazione:
Problema puntando ad un NAS con un java.io.File - Il salotto delle Muse:
Consigli di lettura - Periferiche esterne:
chiavetta usb----protetta che fare - Tablet e smartphone:
i telefoni xiaomi "mangiano" memoria? - Linux:
Problemi sulla creazione dell'immagine di linux
mint - Olimpo.TV:
Warner TV? No, Warning TV - Aiuto per i forum / La Posta di Zeus / Regolamento:
post di utente non verificato - Al Caffe' Corretto:
Mi sembra appropriato, in un contesto di generale
latitanza
Gladiator