Antivirus cancellano file legittimi con un semplice trucco. Ecco le patch disponibili

Uno dei ricercatori di SafeBreach ha scoperto una vulnerabilità di sicurezza in alcune tra le principali e più note soluzioni per la sicurezza informatica.
Con un semplice trucco, un aggressore può indurre l’antimalware a cancellare file assolutamente legittimi: viene così disposta la rimozione automatica dei file personali dell’utente oppure di componenti di sistema provocando il malfunzionamento di Windows e delle applicazioni installate.

Or Yair, l’esperto che ha rilevato il comportamento anomalo da parte di Microsoft Defender, Microsoft Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus e SentinelOne, ha battezzato Aikido il suo codice proof-of-concept. Il nome si ispira alle arti marziali e fa riferimento alla pratica che provoca gli avversari a fare mosse che nuocciono a loro stessi.

Il ricercatore spiega che Aikido sfrutta il meccanismo time-of-check to time-of-use (TOCTOU), già ampiamente noto nel campo della sicurezza, per sostituire il percorso di un file malevolo da rimuovere con quello corrispondente a un elemento legittimo.

Creando semplicemente una giunzione, è possibile fare in modo che un file memorizzato in una certa cartella (ad esempio una directory temporanea come c:\temp) provochi la cancellazione di un elemento di sistema al quale non si avrebbe accesso con i privilegi dell’utente (si pensi a un file contenuto nella cartella %systemroot%\System32\drivers).
La procedura seguita dal ricercatore è illustrata nell’analisi pubblicata sul sito di SafeBreach.

I vari produttori di antivirus hanno rilasciato le patch correttive confermando la scoperta di SafeBreach.
Gli utenti di Microsoft Defender sono protetti a partire dalla versione 1.1.19700.2, quelli di TrendMicro Apex One con l’applicazione dell’aggiornamento rapido 23573 e della patch patch_b11136, quelli di Avast e AVG con l’installazione della release 22.10.