I ricercatori di RACK911 hanno reso pubblico un bug piuttosto grave, individuato in ben 28 diversi antivirus e per i tre diversi sistemi operativi Windows, Linux e Mac.
Qualche dettaglio tecnico
La vulnerabilità in questione è detta "symlink race" e consiste, in breve, nella possibilità di un attaccante di "legare" un file corrotto ad uno legittimo, rendendolo nei fatti invisibile in fase di scansione. Diventa possibile così evadere le individuazioni delle soluzioni di sicurezza e procedere all'esecuzione di codice dannoso. Esiste infatti un intervallo tra il momento in cui un file viene scansionato e considerato dannoso e il momento in cui l'antivirus rimuove la minaccia: l'attacco si basa sulla sostituzione del file dannoso con un collegamento simbolico a un file legittimo proprio entro questa finestra temporale. Quando l'antivirus rileva il file dannoso e si attiva per eliminarlo, finisce in realtà per eliminare file propri o file legittimi relativi al sistema operativo.
Spesso questi file dannosi vengono legati a file con alti privilegi di amministrazione, garantendo anche la possibilità di eseguire attacchi di tipo Elevation Of Privilege (ottenimento illegittimo su un sistema di privilegi superiori, spesso di amministrazione).
Quali antivirus?
Il problema non è affatto nuovo, anche se il report di RACK911 è stato pubblicato questa settimana: il team di ricercatori infatti ha affermato di avere in corso ricerche sulla presenza di questo bug negli antivirus fin dal 2018. In questi anni hanno riscontrato come siano ben 28 i prodotti antivirus, eseguiti sia su Linux che su Mac che su Windows, vulnerabili a questo bug. A seguito della segnalazione fatta ai vari vendor, dicono i ricercatori, alcuni hanno risolto la problematica rilasciando aggiornamenti correttivi (con aggiornamenti "silenziosi" o con specifici avvisi pubblici) altri invece no.
Il team di RACK911 ha quindi pubblicato la lista completa dei 28 antivirus, ma non ha specificato quali hanno applicato le correzioni e quali no.
Ecco la lista:
- Windows: Avast Free Anti-Virus, Avira Free Anti-Virus, BitDefender GravityZone, Comodo Endpoint Security, F-Secure Computer Protection, FireEye Endpoint Security, Intercept X (Sophos), Kaspersky Endpoint Security, Malwarebytes for Windows, McAfee Endpoint Security, Panda Dome, Webroot Secure Anywhere;
- macOS: AVG, BitDefender Total Security, Eset Cyber Security, Kaspersky Internet Security, McAfee Total Protection, Microsoft Defender (BETA), Norton Security, Sophos Home, Webroot Secure Anywhere;
- Linux: BitDefender GravityZone, Comodo Endpoint Security, Eset File Server Security, F-Secure Linux Security, Kaspersy Endpoint Security, McAfee Endpoint Security, Sophos Anti-Virus for Linux.
Cosa fare
Non essendo disponibile la lista completa degli antivirus ancora vulnerabili, l'unico consiglio che i ricercatori hanno dato è quello di procedere ad aggiornare l'antivirus, indipendentemente dalla versione in esecuzione, all'ultima versione disponibile.
Nessun commento:
Posta un commento