Quarantena degli antivirus: una falla di sicurezza permette di ripristinare i malware

Un ricercatore esperto di sicurezza informatica mette a nudo una problematica non di poco conto: l'area di quarantena dei software antivirus non è così sicura e il suo contenuto può essere ripristinato sui sistemi Windows eseguendolo con i diritti SYSTEM.

Un ricercatore autonomo ha scoperto una lacuna di sicurezza presente nella stragrande maggioranza delle soluzioni antimalware oggi disponibili sul mercato.
Si supponga che un software antivirus abbia rilevato come malware un qualunque file presente sul sistema e lo abbia correttamente posto in quarantena.

Florian Bogner, ricercatore austriaco, ha scoperto un meccanismo – battezzato AVGater – che permette di recuperare il file malevolo dall’area di quarantena dell’antivirus e, mediante l’utilizzo di una giunzione di Windows (ne avevamo parlato nell’articolo Come spostare i programmi da C: a D: o ad altre unità), fare in modo che esso torni ad essere caricato da una delle cartelle di sistema.


L’operazione di “estrazione” del file dalla quarantena può essere effettuata eseguendo codice in locale senza neppure sfruttare i privilegi di amministratore.

Bogner ha documentato il suo studio in questa pagina facendo i nomi dei prodotti che sono stati tempestivamente aggiornati per sanare la problematica di sicurezza: Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, Ikarus e Check Point Zone Alarm.

Il ricercatore ha rivelato che molti altri prodotti per la sicurezza sono al momento vulnerabili ma ha preferito non fare i nomi per evitare che qualcuno possa abusare del problema.

La falla messa a nudo da Bogner è evidentemente molto interessante perché può consentire di eseguire con i permessi di sistema più ampi (SYSTEM) codice nocivo che era stato in precedenza messo in quarantena.

Ti consigliamo anche

Link copiato negli appunti