Antivirus poco sicuri, la quarantena non funziona

Un ricercatore di sicurezza ha scoperto una grave vulnerabilità in diversi antivirus che consente ad un malintenzionato di ottenere il controllo completo del computer. AVGater, questo il nome attribuito al bug da Florian Bogner, permette di spostare un malware presente nella quarantena in qualsiasi posizione del file system. Sei noti antivirus sono già stati aggiornati, mentre per gli altri non è stata ancora distribuita la patch.

Tutti gli antivirus hanno una speciale cartella, detta appunto quarantena, in cui vengono copiati i file infetti rilevati durante la scansione. L’utente può eventualmente ripristinare il file nella sua posizione originaria, senza la necessità di avere privilegi di amministratore. Abusando di una funzionalità di Windows, nota come NTFS junction point, è possibile forzare il ripristino del malware in una directory diversa da quella originaria. Sfruttando un’altra funzionalità di Windows, nota come DLL Search Order, il malintenzionato può spostare il file infetto in cartelle che solitamente sono protette dalla scrittura, ad esempio C:\Program Files o C:\Windows.

L’esecuzione del codice arbitrario avviene infine con l’aiuto di DLLMain entry point. Quindi utilizzando un accesso non privilegiato è possibile sfruttare la quarantena degli antivirus per guadagnare il controllo completo del sistema. Il ricercatore ha comunicato la sua scoperta alle software house interessate. Emisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro e ZoneAlarm hanno rilasciato versioni aggiornate dei loro antivirus. Altri sette hanno la stessa vulnerabilità, ma i nomi non sono stati divulgati per ovvi motivi.

Nei sistemi aziendali è possibile impedire il ripristino dei file da parte degli utenti normali, ovvero senza i privilegi di amministratore. È consigliabile installare al più presto le ultime versioni degli antivirus.