La falla negli antivirus che libera il malware dalla quarantena

AVGator rimette in circolazione tutti i malware catturati.



[ZEUS News - www.zeusnews.it - 13-11-2017]

antivirus quarentena

Gli antivirus svolgono una funzione preziosa: individuano il malware e lo mettono in condizione di non nuocere, generalmente relegandolo in una sorta di prigione nota come "quarantena".

L'esperto di sicurezza Florian Bogner ha però scoperto una falla che, se sfruttata, permette a un malintenzionato di liberare tutti i prigionieri della quarantena e rimetterli in condizione di fare danni nel Pc.

Fortunatamente, il sistema non funziona con tutti gli antivirus, e anche tra quelli interessati dal problema molti hanno già rilasciato una patch o sono sul punto di farlo.

Bogner ha soprannominato la vulnerabilità AVGater e ha realizzato un video in cui ne viene illustrato il funzionamento (lo riportiamo più sotto).

Il trucco consiste nel manipolare il processo di ripristino dei file dalla quarantena, una possibilità che gli antivirus normalmente offrono agli utenti nel caso venga individuato un falso positivo, ossia un file legittimo venga trattato da malware.

AVGater permette a un utente non privilegiato, che abbia fatto login sulla macchina, di ripristinare un file dalla Quarantena e di salvare in qualunque punto del filesystem.

Tale operazione diventa possibile - spiega il ricercatore - perché «il processo di ripristino generalmente è condotto dal servizio AV in modalità utente, e in possesso i privilegi necessari».

Abusando poi di una caratteristica del file system NTFS (le directory junctions), l'autore dell'attacco può salvare il file prelevato dalla quarantena anche in percorsi importanti, come C:\Program Files o C:\Windows, dove l'utente con cui è stato effettuato il login di norma non potrebbe scrivere.

Sondaggio
Puoi scegliere una sola pillola: quale delle tre?
Pillola blu: rimani giovane per sempre
Pillola verde: 1.000.000.000 euro in contanti
Pillola rossa: puoi viaggiare nel tempo in qualsiasi istante

Mostra i risultati (1092 voti)
Leggi i commenti (21)

Se il file in questione è una Dll, è possibile fare in modo che venga caricato da un processo dotato di privilegi elevati: così il malware viene eseguito.

Il pericolo è teoricamente serio, ma viene mitigato da un dettaglio importante: per poter portare a termine un attacco tramite AVGator è necessario avere accesso fisico alla macchina.

Per gli utenti domestici, quindi, la minaccia è più teorica che reale. Negli ambiente aziendali, dove invece è possibile che più persone operaino sui computer, la serietà del pericolo è maggiore.

Con la tecnica indicata da Bogner, infatti, un impiegato scontento titolare di un utente con scarsi privilegi potrebbe comunque ottenere accesso alla quarantena e scatenare nel sistema informatico interno quei malware che l'antivirus aveva così coscienziosamente catturato.

Per prevenire scenari di questo tipo anche in carenza di patch, la soluzione è evidente: disattivare la funzionalità di quarantena e impostare i programmi di sicurezza affinché non offrano agli utenti normali la possibilità di ripristinare le minacce rilevate.

Qui sotto, il video realizzato da Florian Bogner.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
L'antivirus che scambia Windows per un malware
Microsoft propone la quarantena per i PC infetti
Bit Defender mette in ginocchio Windows 7, Vista e XP

Commenti all'articolo (1)

Non si chiama falla, si chiama indulto! :lol:
17-11-2017 12:59

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Chi di questi 10 non ha meritato il premio Nobel per la Pace?
Elihu Root, segretario di Stato USA, vincitore nel 1912, indagato per la repressione degli indipendentisti filippini.
Aristide Briand, politico francese, vincitore nel 1926, nonostante molti sostengano che gli accordi da lui voluti abbiano portato la Germania a tentare la successiva espansione verso est.
Frank Kellogg, vincitore nel 1929: la sua idea per evitare le guerre fu sconfessata di lì a breve dalla politica tedesca.
Carl von Ossietzky, giornalista tedesco, vincitore nel 1935 per aver rivelato la politica tedesca di riarmo in violazione dei trattati. Meritava il premio, ma la tempistica fu pessima: venne deportato in un campo di concentramento.
Nessuno: nel 1948 il premio non venne assegnato. Sarebbe potuto andare a Mohandas Ghandi, ma era stato assassinato e il Comitato non permise che il premio fosse assegnato alla memoria.
Henry Kissinger e Le Duc Tho, vincitori nel 1973 per aver negoziato il ritiro delle truppe USA dal Vietnam. Il primo però approvò il bombardamento contro la Cambogia; il secondo rifiutò il premio.
Yasser Arafat, Shimon Peres e Yitzakh Rabin, vincitori nel 1994, sebbene gli accordi di Oslo abbiano avuto effetti molto brevi.
Kofi Annan e le Nazioni Unite, vincitori nel 2001, investigato nel 2004 per il coinvolgimento del figlio in un caso di pagamenti illegali nel programma Oil for Food.
Wangari Muta Maathai, vincitrice nel 2004, convinta che il virus HIV sia stato creato in laboratorio e sfuggito per errore.
Barack Obama, vincitore nel 2009, appena eletto presidente degli USA.

Mostra i risultati (1512 voti)
Novembre 2017
iPhone X paralizzato dal freddo: lo schermo smette di funzionare
In prova: Amazon Fire Tv Stick - Basic Edition
iPhone X, campione di fragilità
Licenziato per aver detto la verità
Arriva il DVB-T2, dovremo cambiare il televisore: come scegliere quello giusto
Windows 10 non sarà più gratuito
Ottobre 2017
Youtuber svela l'iPhone X in anteprima e fa licenziare il padre da Apple
Amazon Key dà al corriere le chiavi di casa
Come far risorgere le app cancellate dal Fall Creators Update
Malware per violare i bancomat in vendita nel dark web
Ceo di GitHub: i programmatori sono condannati all'estinzione
Il ransomware per Android che blocca lo smartphone due volte
Il falso Adblock che ha ingannato decine di migliaia di utenti
Windows Media Player sparisce da Windows 10
Disqus violato, rubati i dati di 17,5 milioni di utenti
Tutti gli Arretrati


web metrics