Gli antivirus svolgono una funzione preziosa: individuano il malware e lo mettono in condizione di non nuocere, generalmente relegandolo in una sorta di prigione nota come "quarantena".

L'esperto di sicurezza Florian Bogner ha però scoperto una falla che, se sfruttata, permette a un malintenzionato di liberare tutti i prigionieri della quarantena e rimetterli in condizione di fare danni nel Pc.

Fortunatamente, il sistema non funziona con tutti gli antivirus, e anche tra quelli interessati dal problema molti hanno già rilasciato una patch o sono sul punto di farlo.

Sullo stesso tema:

Malwarebytes blocca per errore Google e YouTube

L'antivirus che scambia Windows per un malware

Microsoft propone la quarantena per i PC infetti

Bit Defender mette in ginocchio Windows 7, Vista e XP

Bogner ha soprannominato la vulnerabilità AVGater e ha realizzato un video in cui ne viene illustrato il funzionamento (lo riportiamo più sotto).

Il trucco consiste nel manipolare il processo di ripristino dei file dalla quarantena, una possibilità che gli antivirus normalmente offrono agli utenti nel caso venga individuato un falso positivo, ossia un file legittimo venga trattato da malware.

AVGater permette a un utente non privilegiato, che abbia fatto login sulla macchina, di ripristinare un file dalla Quarantena e di salvare in qualunque punto del filesystem.

Tale operazione diventa possibile - spiega il ricercatore - perché «il processo di ripristino generalmente è condotto dal servizio AV in modalità utente, e in possesso i privilegi necessari».

Abusando poi di una caratteristica del file system NTFS (le directory junctions), l'autore dell'attacco può salvare il file prelevato dalla quarantena anche in percorsi importanti, come C:\Program Files o C:\Windows, dove l'utente con cui è stato effettuato il login di norma non potrebbe scrivere.

Se il file in questione è una Dll, è possibile fare in modo che venga caricato da un processo dotato di privilegi elevati: così il malware viene eseguito.

Il pericolo è teoricamente serio, ma viene mitigato da un dettaglio importante: per poter portare a termine un attacco tramite AVGator è necessario avere accesso fisico alla macchina.

Per gli utenti domestici, quindi, la minaccia è più teorica che reale. Negli ambiente aziendali, dove invece è possibile che più persone operaino sui computer, la serietà del pericolo è maggiore.

Con la tecnica indicata da Bogner, infatti, un impiegato scontento titolare di un utente con scarsi privilegi potrebbe comunque ottenere accesso alla quarantena e scatenare nel sistema informatico interno quei malware che l'antivirus aveva così coscienziosamente catturato.

Per prevenire scenari di questo tipo anche in carenza di patch, la soluzione è evidente: disattivare la funzionalità di quarantena e impostare i programmi di sicurezza affinché non offrano agli utenti normali la possibilità di ripristinare le minacce rilevate.

Qui sotto, il video realizzato da Florian Bogner.