Antivirus giocati da uno zip

Basta un file zip lievemente modificato per bypassare i controlli di molti software antivirus e consentire ad un codice virale di passare, ad esempio, attraverso le barriere di sicurezza perimetrali di un'azienda

Roma - Che gli antivirus non riescano a "guardare" dentro certi file compressi non è una novità, tuttavia una recente scoperta ha destato l'attenzione degli esperti di sicurezza: alcuni celebri scanner antivirus possono essere ingannati da un semplice file zip a cui siano stati modificati pochi byte.

Il problema riguarda alcuni prodotti antivirus di McAfee, Computer Associates, Kaspersky, Sophos, Eset e RAV, e consiste in un non corretto parsing dell'intestazione dei file zip: questo potrebbe dare la possibilità ad un malintenzionato di comprimere un codice malevolo per evadere il controllo di un software antivirus. La vulnerabilità non è particolarmente pericolosa per chi dispone di un antivirus aggiornato: il codice malevolo, se noto, viene infatti "smascherato" dall'antivirus non appena decompresso. Ciò che desta preoccupazione è il fatto che con questa tecnica i creatori di virus potrebbero facilmente aggirare i controlli dei server, soprattutto quelli di posta, e indurre gli utenti sprovvisti di un antivirus aggiornato a "fidarsi" dell'estensione ".zip" e lanciare quanto contenuto nell'archivio.

"La vulnerabilità deriva dalla combinazione di un'errata valutazione a priori della dimensione del file zip da parte dell'antivirus e dal comportamento alquanto curioso della funzione di autoriparazione dei file zip danneggiati", ha spiegato a Punto Informatico Roberto Preatoni, del portale sulla sicurezza Zone-h.it. "La tecnica per sfruttare tale vulnerabilità è relativamente semplice e consiste nel modificare alcuni header in modo che il file zip appaia con una dimensione di 0 byte. Ciò inganna molti software antivirus, inducendoli a non effettuare alcuna scansione e, di conseguenza, a ignorare l'eventuale codice malevolo".
"Bisogna però dire - ha continuato Preatoni - che la tecnica di exploiting si basa anche su una caratteristica particolare del motore di WinZip, Cartelle Compresse di Windows e forse anche di altri software di compressione: quando un file zip viene troncato per motivi sconosciuti, la lunghezza indicata dagli header ovviamente non corrisponde più alla dimensione effettiva e così il motore del compressore cerca di riparare il file correggendo il valore delle intestazioni. Il problema sta nel fatto che questi programmi chiedono sempre il permesso dell'utente prima di correggere il file tranne quando quest'ultimo riporta una dimensione di 0 byte: in questo caso, sia WinZip che Cartelle Compresse di Windows procedono automaticamente alla riparazione senza chiedere preventiva autorizzazione all'utente".

"Fortunatamente le case produttrici dei prodotti fallati si sono già messe all'opera per risolvere questa vulnerabilità e a breve sarà disponibile una patch. Nel frattempo, si consiglia di non aprire nessun file zip proveniente da fonti sconosciute", ha avvisato Gerardo Di Giacomo, di Zone-h.it.

L'esperto di sicurezza Davide Del Vecchio sostiene tuttavia che i rischi per la sicurezza derivanti da questa debolezza sono assai contenuti, almeno per gli utenti e le aziende "giudiziosi".

"In una situazione reale l'archivio modificato riuscirebbe a evitare i controlli effettuati dall'antivirus presente sul server di posta, ma verrebbe comunque bloccato dall'antivirus presente sulla postazione del singolo utente non appena l'archivio fosse decompresso", ha spiegato Del Vecchio. "L'uso di un antivirus sulle postazioni di lavoro è necessario, ed è impensabile ritenersi protetti contro i codici malevoli utilizzando soltanto un antivirus installato su di un server perimetrale, come ad esempio quello di posta".
TAG: sicurezza
95 Commenti alla Notizia Antivirus giocati da uno zip
Ordina

  • ... per chi utilizza sistemi operativi seri come Mac e Linux.

    Certo che con uindos tutto è possibile, persino i virus nelle JPEG !!!

    non+autenticato
  • Salve a tutti
    mi sento in obbligo di intervenire... ma non sarebbe piu' semplice non aprire lo zip e basta? Io ricevo continuamente spam e virus sulla posta, e sistematicamente senza nemmeno aprire le email le cancello, al massimo verifico il testo originale come e' possibilie fare con outlook express.
    Poi se qualcuno e' curioso e vuole vedere cosa c'e' dentro il file zip spedito insieme ad un messaggio del tipo "Buy Vi@gr@ cheap " etc. beh... alla deficienza non c'e' mai limite!!

    Alton
    non+autenticato

  • - Scritto da: Anonimo
    > Salve a tutti
    > mi sento in obbligo di intervenire... ma non
    > sarebbe piu' semplice non aprire lo zip e
    > basta?


    Certo, puoi fare anche come mio cognato che per paura dei virus ha fatto settare l'antivirus in modo da eliminare tutte le mail con allegato "sospetto".
    Risultato: gli ho spedito DICIOTTO volte lo stesso file e lui non riusciva a riceverlo perché essendo un normalissimo utonto non sapeva come settare diversamente il suo antivirus.
    Io, ovviamente, non so una mazza di anti-quà e anti-là.....ho un Mac, ma per fargli avere quel benedetto file gli ho dovuto fare un CD e spedirglielo con posta prioritaria!!!!!!!!!!

    Ci ha Windows avvelena anche te.....Deluso





    non+autenticato
  • Potevi zippare l'allegatoA bocca aperta:D:D:D
    non+autenticato

  • - Scritto da: Anonimo
    > Potevi zippare l'allegatoA bocca aperta:D:D:D


    ??? È OVVIO che fosse zippato, uso uno script che fa in modo che sia Thunderbird che Mail lo facciano da soli prima della "spedizione".....
    Il punto è che per prova gli ho spedito anche file che su PC non potrebbero arrecare danno, come un eseguibile *nix e un .plist , eppure il suo antivirus bolla tutto cme potenzialmente pericoloso e lo elimina!!!!
    Ma come cavolo è possibile che non si sia mai domandato dell'assoluta assenza di allegati nelle mail????
    Vabbeh...d'altra parte usa Windows....Deluso
    non+autenticato

  • - Scritto da: Anonimo
    [cut]
    > Ma come cavolo è possibile che non si
    > sia mai domandato dell'assoluta assenza di
    > allegati nelle mail????

    Forse non e' l'antivirus.

    Se usa Outlook Express 6.0, oppure la famiglia Outlook di Office (dal 2000SP3 in su, mi pare!), parecchi allegati vengono bloccati in automatico anche senza AV (sai, alla M$ quando si tratta di allegati ormai cagano stuzzicadenti!A bocca aperta )

    In realta' sono ancora presenti, pero' devi disabilitare la funzione di controllo.

    > Vabbeh...d'altra parte usa Windows....Deluso
    Comunque se puoi, fallo passare _almeno_ a TB che e' meglio!
    ;)
    non+autenticato

  • > Risultato: gli ho spedito DICIOTTO volte lo
    > stesso file

    io mi sarei fermato alla terza volta....
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Salve a tutti
    > > mi sento in obbligo di intervenire...
    > ma non
    > > sarebbe piu' semplice non aprire lo zip
    > e
    > > basta?
    >
    >
    > Certo, puoi fare anche come mio cognato che
    > per paura dei virus ha fatto settare
    > l'antivirus in modo da eliminare tutte le
    > mail con allegato "sospetto".
    > Risultato: gli ho spedito DICIOTTO volte lo
    > stesso file e lui non riusciva a riceverlo
    > perché essendo un normalissimo utonto
    > non sapeva come settare diversamente il suo
    > antivirus.
    > Io, ovviamente, non so una mazza di
    > anti-quà e anti-là.....ho un
    > Mac, ma per fargli avere quel benedetto file
    > gli ho dovuto fare un CD e spedirglielo con
    > posta prioritaria!!!!!!!!!!
    >
    > Ci ha Windows avvelena anche te.....Deluso
    >
    >
    >
    >
    >

    se me lo relati tu u mac lo accetto volentieriFicoso

    un pc windows com p4 l'ho pagato 400euro

    tu quanto paghi un mac?A bocca storta




    non+autenticato
  • hai detto bene! che scoperta...
    a parte che e' sufficiente impostare una password e l'antivirus non vi ci accede...
    che notizie inutili...
    a volte penso che buttano su' le notizie solo per riempire il vuoto..
    non+autenticato

  • - Scritto da: Anonimo
    > a parte che e' sufficiente impostare una
    > password e l'antivirus non vi ci accede...

    Cacchio c'entra, se imposti la password neanche l'utente che riceve lo zip è in grado di aprire l'allegato e quindi infettarsi, 'gnurant ! Troll
    non+autenticato
  • E vero! A bocca aperta questa della password é proprio la furbata!
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > a parte che e' sufficiente impostare una
    > > password e l'antivirus non vi ci
    > accede...
    >
    > Cacchio c'entra, se imposti la password
    > neanche l'utente che riceve lo zip è
    > in grado di aprire l'allegato e quindi
    > infettarsi, 'gnurant ! Troll

    se la password è scritta anche nel testo dell'email con allegato il virus zizppato il 99% degli utenti windows sono capaci (non nego: con qualche difficoltà...) di aprire l'allegato in ogni modo e di infettarsi..... che polli i winari... meglio essere pinguini, no?
    non+autenticato
  • > se la password è scritta anche nel
    > testo dell'email con allegato il virus
    > zizppato il 99% degli utenti windows sono
    > capaci (non nego: con qualche
    > difficoltà...) di aprire l'allegato
    > in ogni modo e di infettarsi..... che polli
    > i winari... meglio essere pinguini, no?

    ma almeno i linari se si risparmiassero le trollate nn sarebbe male no? e date il buon esempio!!! cmq essere pinguini non è poi quel de che, un freddo boia, tirarsi il culo per beccare un po' di pesce da mangiare crudo, e basta un attimo di distrazione perchè la prima orca faccia di te il suo pasto... meglio essere un alligatore del lago Nasser a monte della diga di Assuan, cibo a volontà e no nemici naturali, uomo compreso, che con poco sforzo diventi troppo grosso per poter essere trasformato in cinture e/o portafogli... quella è vita, ragazzi!
    non+autenticato
  • esattamente, quando non sanno cosa scrivere o cosa far vedere (media in generale) sparano ste boi.ate pazzesche.
    Andate a lavorare e finitela di terrorizzare gli utonti medi con ste ciarle.
    non+autenticato
  • Ciao Anonimo !

    > hai detto bene! che scoperta...

    Gia' ...

    > a parte che e' sufficiente impostare una
    > password e l'antivirus non vi ci accede...
    > che notizie inutili...

    ... e meno male, se ci accedesse sarebbe un vero guaio, anche peggio del virus !
    :|
  • Basta con questa presa per i fondelli degli antivirus. Non bastano le notifiche dei virus rilevati spedite sistematicamente all'indirizzo sbagliato, non bastano le rotture di balle tutte le volte che si manda un eseguibile all'interno di un messaggio di posta, non basta che mi vanno a ravanare pure dentro gli zip costringendo a zippare con password, ma alla fine si scopre che tutto questo non serve a nulla.

    Il tutto per cosa ?

    Per:

    1) Vendere l'antivirus (ovviamente)

    2) Continuare a far credere che sia possibile utilizzare un PC senza leggere due paginette di istruzioni
    non+autenticato

  • - Scritto da: Anonimo
    > non basta che mi vanno a ravanare
    > pure dentro gli zip costringendo a zippare
    > con password

    Ti giuro che non l'ho capita...
    Zip è un protocollo di compressione, mica di cifratura, e non vedo perché un antivirus non debba potere "ravanare" in un archivio Zip; se proprio credi che sia un'attentato alla tua Privacy, usa appunto le password o critta il contenuto prima di zipparlo.

    Poi personalmente sulla mia Workstation ho disabilitato lo scan degli archivi .Zip su disco, perché preferisco fare la scansione a manina quando mi arrivano e affidarmi ad AVGuard che mi avvisa della presenza di virus quando provo a scompattarli, ma solo perché ho un PC ormai preistorico

  • - Scritto da: Parliamone
    >
    > - Scritto da: Anonimo
    > > non basta che mi vanno a ravanare
    > > pure dentro gli zip costringendo a
    > zippare
    > > con password
    >
    > Ti giuro che non l'ho capita...

    Allora vuol dire che non lavori per una grossa azienda...

    Se devi trasferire un file all'esterno non puoi utilizzare un ftp, protocollo bloccato dal firewall (poi possiamo discutere quanto vuoi sulla stupidità di un tale provvedimento) e quindi l'unica cosa che puoi fare è allegare il file ad una email. Solo che a questo punto ci pensa l'antivirus sul proxy a crear problemi (e quello ovviamente non lo puoi disabilitare), visto che ti blocca i file potenzialmente pericolosi (e cioè non solo gli eseguibili, ma anche i documenti Office, che guardacaso sono fatti apposta per essere distribuiti...). Purtroppo non basta cambiare l'estensione perchè l'antivirus interpreta il mime. Quindi l'unica soluzione è occultare il file. Un modo potrebbe essere quello di zipparlo, però l'antivirus non si fa spiazzare così facilmente nel suo intento di rompere le scatole e quindi cerca di aprire lo zip. Bisogna quindi zipparlo con password. Come vedi non è un problema di privacy, anche perchè normalmente a questo punto la password la scrivi direttamente nel testo dell'email con il quale alleghi il file.



    non+autenticato
  • Beh..se la situazione della tua azienda è quella che descrivi...forse è il caso di mandare in pensione i vostri sistemisti ! e cribbio va bene la sicurezza ma bloccare a prescindere i documenti di word !!
    non+autenticato

  • - Scritto da: Anonimo
    > Beh..se la situazione della tua azienda
    > è quella che descrivi...forse
    > è il caso di mandare in pensione i
    > vostri sistemisti ! e cribbio va bene la
    > sicurezza ma bloccare a prescindere i
    > documenti di word !!

    Lascia perdere...
    non+autenticato
  • > e cribbio va bene la
    > sicurezza ma bloccare a prescindere i
    > documenti di word !!
    Un buon modo per evitare che dall'altra parte debbano procurarsi per forza una copia di Orifice!
    Per un messaggio va bene un testo semplice anche senza html (meglio!!!) o al massimo una paginetta in .rtf, se c'è qualche leyout più complicato ci sono tanti composer che ti salvano in .html in modo assolutamente semplice, oppure in .pdf, anche gratuiti. Almeno siamo sicuri che su qualunque macchina il pdf lo puoi vedere aggratis ed esattamente come lo hai inviato!
    Per le presentazioni in PowerPoint, sappiamo tutti che il 50% sono boiate e l'altro 50 sono donnine nude, i db in access sono delle boiate senza nemmeno il 50% di donnine, i fogli di excel vanno bene, ma di solito i looser per inviare un foglietto con due cifre mandano via tonnellate di cavoli loro che NON devono uscire dalla azienda, ma mica lo capiscono loro come fnzionano i fogli, le cartelle, le api e i fiori... (oh, lo stesso varrebbe anche su OO, eh!)
    non+autenticato

  • - Scritto da: Anonimo
    > > e cribbio va bene la
    > > sicurezza ma bloccare a prescindere i
    > > documenti di word !!
    ....
    > Per le presentazioni in PowerPoint, sappiamo
    > tutti che il 50% sono boiate e l'altro 50
    > sono donnine nude, i db in access sono delle
    ....

    Purtroppo erano boiate, perchè se fossero state donnine nude avrei potuto mandare i jpg....
    non+autenticato

  • - Scritto da: Anonimo

    >Purtroppo non basta
    > cambiare l'estensione perchè
    > l'antivirus interpreta il mime.

    ma ringrazia Dio che lo fa!
    non+autenticato
  • Se avete esigenze, per lavoro, di spedire all'esterno file potenzialmente pericolosi, allora è il caso di parlarne ai sistemisti. Vada anche per lo scan in automatico dei file .zip, ma se l'antivirus si limita a vedere se nello Zip c'è un .Doc e a bloccarlo, invece che fare la scansione e lasciarlo passare se è sano, è un problema di implementazione del server.
    Se invece i documenti .Doc non dovrebbero uscire dall'azienda (Per qualsiasi motivo) e quindi non li spedisci per motivi di lavoro, beh...Occhiolino

  • - Scritto da: Parliamone
    > Se avete esigenze, per lavoro, di spedire
    > all'esterno file potenzialmente pericolosi,
    > allora è il caso di parlarne ai
    > sistemisti. Vada anche per lo scan in

    Che sono a 15 km di distanza e appartengono ad un'altra azienda... delizie dell'outsourcing...

    > automatico dei file .zip, ma se l'antivirus
    > si limita a vedere se nello Zip c'è
    > un .Doc e a bloccarlo, invece che fare la
    > scansione e lasciarlo passare se è
    > sano, è un problema di
    > implementazione del server.

    Certo che si.

    > Se invece i documenti .Doc non dovrebbero
    > uscire dall'azienda (Per qualsiasi motivo) e
    > quindi non li spedisci per motivi di lavoro,
    > beh...Occhiolino

    A prescindere dal fatto che mi dovresti spiegare cosa me ne farei di riempirmi il PC di casa di presentazioni in Powerpoint, ma poi di certo non andrei a mandare in giro dei documenti interni utilizzando la mia casella aziendale quando è possibile utilizzare una casella esterna via webmail oppure una chiavetta USB... Solo che non è molto professionale mandare una presentazione ad un cliente da una casella xyz@hotmail.com ... e soprattutto non lo è dopo che hai tentato di mandare la stessa presentazione N volte da un'indirizzo ufficiale...


    non+autenticato
  • Rimane il fatto che il problema non è negli antivirus che ravanano negli archivi Zio, ma di quei beoti che segano ogni file .ppt o .pps in uscita e degli altri beoti che danno roba in outsourcing a chi non ci capisce una mazza.
    Mi spiace per te.
  • Ieri abbiamo ricevuto l'avviso di vulnerabilità dal nostro fornitore di antivirus (Computer Associates) con la relativa patch che risolve il problema. Oggi leggo la notizia su Punto Informatico.

    Devo dire che è la prima volta che mi capita! Sono rimasto favorevolmente colpito!

    non+autenticato

  • - Scritto da: Anonimo
    > Ieri abbiamo ricevuto l'avviso di
    > vulnerabilità dal nostro fornitore di
    > antivirus (Computer Associates) con la
    > relativa patch che risolve il problema. Oggi
    > leggo la notizia su Punto Informatico.

    Guarda che le notizie su PI escono almeno un giorno (a volte si è arrivati anche a una settimana per notizie "minori") dopo la pubblicazione delle notizie (quelle in inglese, come questa), si perchè bisogna tradurle sia per la natura della testata (non aggiornata in tempo reale ma quotidianamente).
    Se vuoi sapere in tempo "reale" le notizie vai su slashdot o su bugtraqSorride

    > Devo dire che è la prima volta che mi
    > capita! Sono rimasto favorevolmente colpito!
    >
    non+autenticato

  • - Scritto da: Anonimo

    > Se vuoi sapere in tempo "reale" le notizie
    > vai su slashdot o su bugtraqSorride

    Che fretta!
    Cos'e', sindrome da telecamera sempre accesa tipo grande fratello?

    E per saperle *prima* che accadano, le notizie?!
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    >
    > > Se vuoi sapere in tempo "reale" le
    > notizie
    > > vai su slashdot o su bugtraqSorride
    >
    > Che fretta!
    > Cos'e', sindrome da telecamera sempre accesa
    > tipo grande fratello?
    >
    > E per saperle *prima* che accadano, le
    > notizie?!

    nessuna fretta, raramente vado su slashdot, ancor meno su bugtraq, però nel post volevo sfatare il mito di pi superveloce come crede chi ha aperto questa discussione.

    Non essere spiritoso, io i reality neanche li guardoCon la lingua fuori
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > >
    > > > Se vuoi sapere in tempo "reale" le
    > > notizie
    > > > vai su slashdot o su bugtraqSorride
    > >
    > > Che fretta!
    > > Cos'e', sindrome da telecamera sempre
    > accesa
    > > tipo grande fratello?
    > >
    > > E per saperle *prima* che accadano, le
    > > notizie?!
    >
    > nessuna fretta, raramente vado su slashdot,
    > ancor meno su bugtraq, però nel post
    > volevo sfatare il mito di pi superveloce
    > come crede chi ha aperto questa discussione.
    >
    > Non essere spiritoso, io i reality neanche
    > li guardoCon la lingua fuori

    mi chiedo che c**** aspetta il mod a togliere di torno sta roba vagamente vomitevole off topic, compreso questo post

    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)