News

Symlink race: alcune app antivirus sono vulnerabili

Alcuni strumenti antivirus sono più resistenti di altri, ma sembra che molti di essi presentano punti deboli in comune. Rack911 Labs ha rivelato (tramite ZDNet) che 28 noti programmi antivirus, tra cui Microsoft Defender, McAfee Endpoint Security e Malwarebytes, avevano bug che avrebbero permesso agli aggressori di eliminare i file necessari e di provocare crash che potevano essere utilizzati per installare malware. Conosciuti come “symlink race“, usano collegamenti simbolici e giunzioni di directory per collegare file dannosi a file legittimi durante l’intervallo tra la scansione di un file per i virus e quando viene rimosso, rendendolo così invisibile.

 

Symlink race: dopo la correzione dei bug potresti essere comunque a rischio

L’approccio non funziona solo tra programmi di sicurezza, ma tra piattaforme. C’è bisogno di tecniche diverse su Windows, Mac e Linux, riferisce Rack911.

Gli intrusi dovrebbero comunque scaricare ed eseguire il codice necessario prima di lanciare un symlink race, quindi giocano su una violazione del sistema che è già esistente. I ricercatori hanno anche notato che la maggior parte dei fornitori (inclusi AVG, F-Secure, McAfee e Symantec) hanno risolto i bug, alcuni in modo silenzioso.

L’unica cosa che è consigliabile fare è l’update del proprio programma antivirus. Questo procedimento vale anche solo per ridurre il potenziale danno nel caso in cui qualcuno dovesse compromettere il tuo sistema.