Ricercatori hanno rilevato importanti vulnerabilità di sicurezza in popolari antivirus, che potrebbero essere sfruttate per disattivare i sistemi di difesa, assumendo il controllo delle applicazioni ed eseguendo attività malevole attraverso malware, sconfiggendo così le difese anti-ransomware.
La caratteristica principale di questo attacco
Questi attacchi, in particolare, mirano a eludere la funzione “cartella protetta” offerta dai programmi antivirus per crittografare i file (nota anche come “Cut-and-Mouse”).
Le cartelle protette consentono agli utenti di specificare le cartelle che richiedono un ulteriore livello di protezione contro il software distruttivo, bloccando potenzialmente qualsiasi accesso non sicuro alle cartelle protette.
L’altro tipo di attacco reso possibile da questa vulnerabilità è la disattivazione della protezione antivirus in tempo reale (noto come “Ghost Control”).
Cosa dicono i ricercatori
“I fornitori di software antivirus offrono sempre alti livelli di sicurezza e sono un elemento essenziale nella lotta quotidiana contro i criminali“, ha affermato il Prof. Gabriele Lenzini, a capo del Centro interdisciplinare per la sicurezza, l’affidabilità e la fiducia dell’Università del Lussemburgo. “Ma sono in competizione con i criminali che ora hanno sempre più risorse, potere e dedizione“.
In altre parole, le vulnerabilità del software anti-malware non solo consentirebbero a codice non autorizzato di disattivare le funzionalità di protezione, ma ulteriori debolezze negli antivirus potrebbero essere sfruttate, ad esempio, da ransomware per modificare il contenuto dei file utilizzando un’app che consente la scrittura e la crittografia dei dati dell’utente o veicolando un wipeware (un malware che distruggere irreversibilmente i file delle vittime).
Una fiducia mal riposta nelle app “trusted”
“Un piccolo numero di software è nella whitelist degli antivirus, che determina privilegi per scrivere in cartelle protette“, hanno detto i ricercatori. “Tuttavia, le stesse applicazioni autorizzate non sono protette dall’uso improprio da parte di altri software (ndr, malware, in questo caso). Questa fiducia è quindi ingiustificata, dal momento che un malware può eseguire operazioni su cartelle protette utilizzando le applicazioni autorizzate come intermediari“.
Esempio 1: attacco via Blocco Note
Uno scenario di attacco testato dai ricercatori ha rivelato che il codice dannoso potrebbe essere utilizzato per controllare un’applicazione affidabile come il notissimo programma Windows “Blocco Note” per eseguire operazioni di scrittura e crittografare i file della vittima archiviati nelle cartelle protette.
A tal fine, il ransomware legge i file nelle cartelle, li crittografa in memoria e li copia negli appunti di sistema, dopodiché il ransomware avvia Blocco note per sovrascrivere il contenuto della cartella con i dati degli appunti.
Esempio 2: attacco con Paint
Sfruttando Paint come applicazione affidabile, i ricercatori hanno scoperto che la suddetta sequenza di attacco potrebbe essere utilizzata per sovrascrivere i file dell’utente con un’immagine generata casualmente per distruggerli in modo permanente.
Quanti antivirus superano il test?
Delle 29 soluzioni antivirus valutate durante lo studio, 14 sono state ritenute vulnerabili all’attacco “Ghost Control” (disattivazione della protezione in tempo reale), mentre tutti i 29 programmi antivirus testati sono risultati a rischio per l’attacco “Cut-and-Mouse” (scrittura e crittografia di cartelle protette dall’antivirus).
I ricercatori non hanno rivelato i nomi dei fornitori interessati dal test.
Cosa ci dice questo test
I risultati ricordano che le soluzioni di sicurezza esplicitamente progettate per salvaguardare le risorse digitali dagli attacchi di malware possono a loro volta soffrire di vulnerabilità, vanificando così il loro stesso scopo.
Anche se i fornitori di software antivirus continuano a rafforzare le difese, gli autori di malware sono riusciti a superare tali barriere attraverso tattiche di evasione e offuscamento.
E infatti, la nuova frontiera (ormai non più così “nuova”) nelle aziende non prevede più la sola installazione di software antivirus, anti-malware, anti-phishing, ma il servizio in outsourcing di esperti di sicurezza informatica, pronti a rilevare anomalie nella rete aziendale – che non sono altro che segnali di atti preparatori a un attacco informatico.
Contattaci: