Alfonso Maruccia

AVGater, attacco locale contro la quarantena antivirale

Un ricercatore austriaco ha scovato una falla potenzialmente molto pericolosa in un gran numero di software antivirali, un bug il cui sfruttamento richiede però una serie di condizioni non triviali a partire dall'accesso fisico al PC

Roma - La nuova falla che mette sotto accusa la sicurezza dei software antivirus si chiama AVGater, l'ha scoperta il ricercatore austriaco Florian Bogner e può in teoria fornire un modo per elevare i privilegi di accesso per l'esecuzione di codice malevolo su sistemi Windows. Alcuni degli antivirus testati da Bogner sono risultati vulnerabili, e il ricercatore non esclude la possibilità che il problema riguardi anche altri prodotti non ancora vagliati.

L'uso del codice di exploit di AVGater prevede in realtà che l'antivirus abbia già individuato un file malevolo e lo abbia spostato in quarantena, perché è in questa seconda fase che entra in gioco il potenziale cyber-criminale che si è guadagnato un accesso al PC senza privilegi di amministratore.

Anche da un account con credenziali limitate, però, AVGater garantisce l'abuso della funzionalità delle giunzioni - vale a dire la creazione e l'uso di link simbolici a cartelle - presente nel file system NTFS, permettendo di manipolare il processo di ripristino del file malevolo precedentemente messo in quarantena verso una location diversa da quella originale.

AVGater trasferisce quindi il malware in una sottocartella "sensibile" all'interno della cartella di Windows, garantendosi infine l'esecuzione all'avvio del sistema, l'accesso ai pieni privilegi di un utente amministratore e quindi la compromissione dell'intero sistema con relativi file o documenti sensibili.

Bogner dice di aver testato l'efficacia di AVGater nei software antivirali realizzati da Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, Ikarus e Zone Alarm, tutti casi in cui i produttori hanno già rilasciato una patch correttiva attraverso i soliti canali di update automatici. Altre aziende dovrebbero chiudere la falla nei prossimi giorni, mentre per due di quelle che l'hanno già corretta (Emsisoft e Malwarebytes) è stato rilasciato il codice di exploit esplicativo.

Alfonso Maruccia

fonte immagine
Notizie collegate
22 Commenti alla Notizia AVGater, attacco locale contro la quarantena antivirale
Ordina
  • Semplicemente non capisco per quale motivo, è molto più chiaro ed univoco il significato. Perché usare triviale al posto di banale?
  • - Scritto da: kruks
    > Semplicemente non capisco per quale motivo, è
    > molto più chiaro ed univoco il significato.
    > Perché usare triviale al posto di
    > banale?

    Vediamo chi l'ha scritto ..... ah Alfonsino , tutto nella regola quindi. Anzi , forse é uno dei "suoi articoli scritti" meglio. Annoiato
    non+autenticato
  • Scritti è una parola grossa. Se fossero su carta diremmo "pagine imbrattate", su un sito non saprei.
    non+autenticato
  • la volete piantare di pubblicare articoli ad minchiam che sono "terrrrribili" ma solo se implicano l'accesso fisico al dipositivo?!?!?!
    per definizione, se hai a disposizione il bersaglio, scardinarlo e' solo questione di tempo!!!!

    A Marù, ma vaffancù!!!
    non+autenticato
  • - Scritto da: ...
    > la volete piantare di pubblicare articoli ad
    > minchiam che sono "terrrrribili" ma solo se
    > implicano l'accesso fisico al
    > dipositivo?!?!?!
    > per definizione, se hai a disposizione il
    > bersaglio, scardinarlo e' solo questione di
    > tempo!!!!
    >
    > A Marù, ma vaffancù!!!

    Tempo? Se hai accesso alla macchina, spegni il computer e al boot fai partire un DVD/CD con un sistema bootabile dal lettore CD rom, et voilà (se non hai l'HD di sistema completamente crittato, cosa che il 99.9% della gente non ha) puoi fare tutto quello che vuoi sull'HD di sistema bypassando qualsiasi "protezione". Quanto ci vuole, un minuto?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    > > la volete piantare di pubblicare articoli ad
    > > minchiam che sono "terrrrribili" ma solo se
    > > implicano l'accesso fisico al
    > > dipositivo?!?!?!
    > > per definizione, se hai a disposizione il
    > > bersaglio, scardinarlo e' solo questione di
    > > tempo!!!!
    > >
    > > A Marù, ma vaffancù!!!
    >
    > Tempo? Se hai accesso alla macchina, spegni il
    > computer e al boot fai partire un DVD/CD con un
    > sistema bootabile dal lettore CD rom, et voilà
    > (se non hai l'HD di sistema completamente
    > crittato, cosa che il 99.9% della gente non ha)
    > puoi fare tutto quello che vuoi sull'HD di
    > sistema bypassando qualsiasi "protezione". Quanto
    > ci vuole, un minuto?

    anche fossero 30 sencondi, e' sempre "tempo".
    non+autenticato
  • Sì ma "tempo" detto in quel modo potrebbe far pensare che sia un'operazione lunga, quando in realtà modificare i dati sull'HD con accesso fisico alla macchina è un'operazione di una facilità e banalità estrema.
    non+autenticato
  • - Scritto da: ...
    > Sì ma "tempo" detto in quel modo potrebbe far
    > pensare che sia un'operazione lunga, quando in
    > realtà modificare i dati sull'HD con accesso
    > fisico alla macchina è un'operazione di una
    > facilità e banalità estrema.

    se ti scontri con una partizione criptata e vuoi romperne la cifratura, "tempo" e' lungo.

    se ti scontri con una partizione non criptata, "tempo" e' corto.

    Dicendo "tempo" sei a posto in entrambi i casi.
    non+autenticato
  • > Tempo? Se hai accesso alla macchina, spegni il
    > computer e al boot fai partire un DVD/CD con un
    > sistema bootabile dal lettore CD rom, et voilà

    E questa cosa si può fermare/rallentare bloccando il boot da unità esterne e con il secure boot, cosa che non è stata apprezzata ma a quanto pare non sarebbe una brutta idea.


    > (se non hai l'HD di sistema completamente
    > crittato, cosa che il 99.9% della gente non ha)
    > puoi fare tutto quello che vuoi sull'HD di
    > sistema bypassando qualsiasi "protezione". Quanto
    > ci vuole, un
    > minuto?

    Perché non consideri il fatto che semplicemente il PC non ha dati in locale? Quindi partire da eventuale altro sistema operativo o rubarti l'hard-disk, crittografato o meno, non ha molta importanza? E qui torniamo al discorso cloud (per i sistemi domestici, server di rete per le aziende ovviamente), anch'esso poco apprezzato ma quanto pare risulta interessante anche quello in certe situazioni.
    non+autenticato
  • - Scritto da: Espertissim o
    > > Tempo? Se hai accesso alla macchina, spegni
    > il
    > > computer e al boot fai partire un DVD/CD con
    > un
    > > sistema bootabile dal lettore CD rom, et
    > voilà
    >
    > E questa cosa si può fermare/rallentare bloccando
    > il boot da unità esterne e con il secure boot,
    > cosa che non è stata apprezzata ma a quanto pare
    > non sarebbe una brutta
    > idea

    Capirai che protezione. Ti aprono il computer con un cacciavite, staccano l'HD e l'attaccano come esterno al loro portatile e sei daccapo. Potrà tenere fuori tuoi fratello di 9 anni, di certo non un hacker motivato.


    > > (se non hai l'HD di sistema completamente
    > > crittato, cosa che il 99.9% della gente non
    > ha)
    > > puoi fare tutto quello che vuoi sull'HD di
    > > sistema bypassando qualsiasi "protezione".
    > Quanto
    > > ci vuole, un
    > > minuto?
    >
    > Perché non consideri il fatto che semplicemente
    > il PC non ha dati in locale

    Peccato che se non hai dati in locale ma su cloud, la privacy e il controllo sui file li hai persi per definizione.
    non+autenticato
  • Aggiungo che bisogna essere proprio dementi a star lì a preoccuparsi che un "hacker" sia li a far qualcosa alla quarantena dell'antivirus se ha accesso fisico alla macchina. Se uno ha accesso fisico alla macchina, a meno di avere un disco completamente crittato può prendere e modificare o cancellare i file come cazzo gli pare.
    non+autenticato
  • - Scritto da: ...
    > Aggiungo che bisogna essere proprio dementi a
    > star lì a preoccuparsi che un "hacker" sia li a
    > far qualcosa alla quarantena dell'antivirus se ha
    > accesso fisico alla macchina. Se uno ha accesso
    > fisico alla macchina, a meno di avere un disco
    > completamente crittato può prendere e modificare
    > o cancellare i file come cazzo gli
    > pare.
    sopratutto la demenza e' lanciarsi a buffo basandosi sulle dichiarazioni di Maruccia... l'accesso fisico e' una sua invenzione... serve un accesso non privilegiato alla gui dell'antivirus... un teamview,vnc,ts o altro e' sufficiente... in certi av probabilmente e' sufficiente la commandline
    non+autenticato
  • se lo metti in quarantena lo pigli nel culo come maddalena. Rotola dal ridere
    non+autenticato
  • Battuta brutta.
    non+autenticato
  • - Scritto da: Brutta battuta
    > Battuta brutta.


    Brutta battuta. Rotola dal ridere

    continuate a battere per una buonariuscita. es. Battuta buona Rotola dal ridere
    non+autenticato
  • "condizioni non triviali "...
    Quindi condizioni non volgari?
    Mah...
    non+autenticato
  • - Scritto da: patrizio
    > "condizioni non triviali "...
    > Quindi condizioni non volgari?
    > Mah...

    Google translator.
  • - Scritto da: panda rossa
    > - Scritto da: patrizio
    > > "condizioni non triviali "...
    > > Quindi condizioni non volgari?
    > > Mah...
    >
    > Google translator.

    Zitto che capita pure a te: metti "minix" e salta furi "linux".
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > - Scritto da: patrizio
    > > > "condizioni non triviali "...
    > > > Quindi condizioni non volgari?
    > > > Mah...
    > >
    > > Google translator.
    >
    > Zitto che capita pure a te: metti "minix" e salta
    > furi
    > "linux".
    capita che? il tizio ha ragione... quel triviale usato cosi' e' un po una cagata... non proprio un 'falso amico' ma cmq un inutile calco dall'inglese...
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: ...
    > > - Scritto da: panda rossa
    > > > - Scritto da: patrizio
    > > > > "condizioni non triviali "...
    > > > > Quindi condizioni non volgari?
    > > > > Mah...
    > > >
    > > > Google translator.
    > >
    > > Zitto che capita pure a te: metti "minix" e
    > salta
    > > furi
    > > "linux".
    > capita che? il tizio ha ragione... quel triviale
    > usato cosi' e' un po una cagata... non proprio un
    > 'falso amico' ma cmq un inutile calco
    > dall'inglese...

    si stava solo perculando panda rossa che pochi giorni fa ha portato a casa l'ennesima figura di palta. cerca "minix" tra gli articoli di settimana scorsa per i dettagli.
    non+autenticato
  • Non capisco perché percularlo, si percula già da solo.
    non+autenticato