AVGater, attacco locale contro la quarantena antivirale

Geronimo Vena
Novembre 14, 2017

Florian Bogner, ricercatore austriaco, ha scoperto un meccanismo - battezzato AVGater - che permette di recuperare il file malevolo dall'area di quarantena dell'antivirus e, mediante l'utilizzo di una giunzione di Windows (ne avevamo parlato nell'articolo Come spostare i programmi da C: a D: o ad altre unità), fare in modo che esso torni ad essere caricato da una delle cartelle di sistema. Il bug prenderebbe il nome di AVGater e coinvolgerebbe il sistema che gestisce la quarantena con cui tali software isolano i file infetti. Sei noti antivirus sono già stati aggiornati, mentre per gli altri non è stata ancora distribuita la patch. L'utente può eventualmente ripristinare il file nella sua posizione originaria, senza la necessità di avere privilegi di amministratore. Abusando di una funzionalità di Windows, nota come NTFS junction point, è possibile forzare il ripristino del malware in una directory diversa da quella originaria.

Verrebbe così spianata la strada all'esecuzione di codice arbitrario, il tutto disponendo di permessi di accesso non particolarmente elevati. Il ricercatore ha rivelato che molti altri prodotti per la sicurezza sono al momento vulnerabili ma ha preferito non fare i nomi per evitare che qualcuno possa abusare del problema.

Altre relazioni OverNewsmagazine

Discuti questo articolo

SEGUI I NOSTRI GIORNALE