Or Yair, un ricercatore di SafeBreach, ha recentemente scoperto l’esistenza di una vulnerabilità di di sicurezza in Microsoft Defender e altri tra i principali antivirus in commercio che permette agli aggressori di cancellare file legittimi provocando il malfunzionamento di Windows e dei programmi su di esso installati.
Antivirus: una vulnerabilità cancella i file legittimi
Andando più in dettaglio, il comportamento anomalo è stato rivelato non soltanto da parte del già citato Microsoft Defender, ma pure di Microsoft Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus e SentinelOne. Il codice proof-of-concept è stato denominato Aikido, con chiara ispirazione alle arti marziali, con riferimento alla pratica che provoca gli avversari a compiere mosse che nuocciono a loro stessi.
Aikido sfrutta il meccanismo time-of-check to time-of-use (TOCTOU) per sostituire il percorso di un file malevolo da rimuovere con quello corrispondente a un elemento legittimo. Con una giunzione, dunque, è possibile fare in modo che un file in una cartella provochi la cancellazione di un elemento di sistema a cui con i privilegi dell’utente non sarebbe possibile accedere.
Da tenere presente che nel caso specifico delle soluzioni Microsoft Defender, il ricercatore ha notato che non vengono eliminati i file, ma le cartelle.
Per far fronte alla cosa, i vari produttori di antivirus hanno già provveduto a rilasciare le patch correttive. Microsoft Defender è protetto a partire dalla versione 1.1.19700.2, mentre per TrendMicro Apex One l’update da considerare è 23573 e la patch patch_b11136 e per Avast e AVG c’è la relase 22.10.
Altre soluzioni antivirus, come ad esempio quelle offerte da McAfee e BitDefender sono passate indenne, ma oltre la metà dei prodotti testi si è comunque rivelato vulnerabile.