Antivirus: Microsoft Defender e altri cancellano file legittimi

Antivirus: Microsoft Defender e altri cancellano file legittimi

È stata scoperta una falla in Microsoft Defender e altri antivirus che permette agli aggressori di eliminare file legittimi di Windows.
Antivirus: Microsoft Defender e altri cancellano file legittimi
È stata scoperta una falla in Microsoft Defender e altri antivirus che permette agli aggressori di eliminare file legittimi di Windows.

Or Yair, un ricercatore di SafeBreach, ha recentemente scoperto l’esistenza di una vulnerabilità di di sicurezza in Microsoft Defender e altri tra i principali antivirus in commercio che permette agli aggressori di cancellare file legittimi provocando il malfunzionamento di Windows e dei programmi su di esso installati.

Antivirus: una vulnerabilità cancella i file legittimi

Andando più in dettaglio, il comportamento anomalo è stato rivelato non soltanto da parte del già citato Microsoft Defender, ma pure di Microsoft Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus e SentinelOne. Il codice proof-of-concept è stato denominato Aikido, con chiara ispirazione alle arti marziali, con riferimento alla pratica che provoca gli avversari a compiere mosse che nuocciono a loro stessi.

Aikido sfrutta il meccanismo time-of-check to time-of-use (TOCTOU) per sostituire il percorso di un file malevolo da rimuovere con quello corrispondente a un elemento legittimo. Con una giunzione, dunque, è possibile fare in modo che un file in una cartella provochi la cancellazione di un elemento di sistema a cui con i privilegi dell’utente non sarebbe possibile accedere.

Da tenere presente che nel caso specifico delle soluzioni Microsoft Defender, il ricercatore ha notato che non vengono eliminati i file, ma le cartelle.

Per far fronte alla cosa, i vari produttori di antivirus hanno già provveduto a rilasciare le patch correttive. Microsoft Defender è protetto a partire dalla versione 1.1.19700.2, mentre per TrendMicro Apex One l’update da considerare è 23573 e la patch patch_b11136 e per Avast e AVG c’è la relase 22.10.

Altre soluzioni antivirus, come ad esempio quelle offerte da McAfee e BitDefender sono passate indenne, ma oltre la metà dei prodotti testi si è comunque rivelato vulnerabile.

Fonte: Dark Reading
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
12 dic 2022
Link copiato negli appunti