Anche una società di cybersecurity dall’esperienza di McAfee può incappare in sviste madornali. La dimostrazione è arrivata ieri, quando un errato aggiornamento alle firme virali degli antivirus targati McAfee ha messo fuori uso un non trascurabile numero di computer in tutto il mondo.
Sui sistemi in cui gira Windows XP con il Service Pack 3 (SP3), l’aggiornamento incriminato può causare diversi problemi : un errore irreversibile di sistema (schermata blu), il riavvio a ripetizione di Windows, l’assenza di connettività o alcune anomalie meno gravi. Talvolta gli utenti incorrono negli effetti del bug solo dopo il riavvio del PC, dunque anche a molte ore di distanza dall’installazione delle nuove firme virali.
L’aggiornamento è stato distribuito da McAfee nel primo pomeriggio di ieri, ed è rimasto online solo poche ore : a causa del sistema di aggiornamento automatico di cui sono dotati gli antivirus dell’azienda statunitense, questo breve arco di tempo è stato però sufficiente a diffondere l’update su migliaia di PC.
Il problema sembra verificarsi con buona parte dei prodotti antivirus di McAfee , sia consumer che business: tra questi VirusScan Plus, VirusScan Enterprise, Internet Security Suite e Total Protection. L’unico sistema operativo vulnerabile è Windows XP SP3: le altre versioni di Windows, incluse XP RTM, SP1 e SP2, sono immuni al problema.
Stando a quanto spiegato in questo post del Microsoft TechNet, il file Virus Definition (DAT) 5958 distribuito ieri da McAfee rileva erroneamente il virus w32/wecorl.a nel componente svchost.exe di Windows. A causa di questo falso positivo, l’antivirus tenta di mettere in quarantena il file o, a seconda delle impostazioni, di cancellarlo definitivamente. Dal momento che svchost.exe è un componente essenziale di Windows, la sua rimozione porta quasi sempre a gravi instabilità del sistema.
McAfee ha prontamente rilasciato un nuovo file DAT , il numero 5959 , e ha pubblicato istruzioni dettagliate su come ripristinare un’installazione corrotta di Windows XP SP3 o su come prevenire il problema nel caso l’antivirus sia sia già aggiornato ma il PC non sia ancora stato riavviato.
Sul suo Security Insights Blog , McAfee ha spiegato nelle più recenti versioni di VirusScan Enterprise, quali la 8.7, il problema si verifica solo nell’eventualità che l’utente o l’amministratore di sistema abbiano attivato la funzione Scan Processes (di default questa funzione è disattivata) o eseguano manualmente una scansione antivirus.
McAfee ha minimizzato l’impatto e la portata del suo errore sostenendo che questo, a livello globale, ha avuto ripercussioni soltanto sull’1% o al massimo l’1,5% di tutti i suoi clienti aziendali e su “una frazione” degli utenti consumer. Ciò non toglie che vi siano stati disservizi anche piuttosto seri, sia in ambito pubblico che privato. In USA, ad esempio, parrebbe che un terzo degli ospedali di Rhode Island sia stato costretto ad interrompere le terapie dei pazienti meno gravi e a posticipare certi interventi chirurgici, mentre nel Kentucky la polizia di stato avrebbe temporaneamente spento i computer di bordo delle auto di pattuglia per consentire ai tecnici di risolvere il problema.
McAfee non è l’unica ad aver commesso un tale errore: in passato molti altri nomi del settore sicurezza hanno distribuito firme virali che, per via di falsi positivi, danneggiavano in modo più o meno serio Windows. Uno tra i casi più eclatanti fu quello che nel tardo 2008 coinvolse i popolari software antivirus di AVG.
Alessandro Del Rosso