Libero
SICUREZZA INFORMATICA

28 antivirus a rischio attacco hacker: quali sono

Scoperta una vulnerabilità che permette agli hacker di superare le difese degli antivirus. Ecco come funziona e quali sono gli antivirus in pericolo

virus pc Fonte foto: Shuttestock

Microsoft Defender, McAfee Endpoint Security, Malwarebytes e molti altri famosi antivirus commerciali e gratuiti, per un totale di 28 app, sono stati a lungo o sono tuttora vulnerabili all’attacco di hacker. E questo sia nelle rispettive versioni per Windows che per Linux e macOS.

Lo ha scoperto la società di cybersicurezza Rack911 Labs: tutti questi software sono accomunati da una vulnerabilità simile, che permette ad un hacker di sferrare un attacco subito dopo aver mandato in crash il sistema e aver fatto scaricare all’utente un malware. La tecnica di attacco si chiama “symlink races” e si basa su link a file pericolosi. Per fortuna gli eventuali attaccanti dovrebbero comunque scaricare ed eseguire il codice necessario prima di usare questa tecnica, quindi questo è più uno strumento per sfruttare a fondo un attacco già andato parzialmente in porto piuttosto che per sferrarne uno da zero. Ciò non toglie, però, che un antivirus dovrebbe proteggere l’utente da attacchi simili.

Attacco hacker tramite gli antivirus

La maggior parte dei software antivirus funziona in modo simile: quando un file sconosciuto viene salvato sul disco rigido, la suite di sicurezza di solito esegue una scansione in tempo reale per controllare che non contenga virus. Se l’antivirus ritiene che il file sconosciuto sia pericoloso, allora lo mette automaticamente in quarantena e lo sposta in una posizione sicura in attesa di ulteriori istruzioni: l’utente potrà scegliere se cancellare o aprire il file. Quasi tutti gli antivirus godono dei massimi privilegi da parte del sistema operativo e, di conseguenza, se è l’antivirus ad eseguire il file pericoloso non c’è niente che possa fermare l’infezione. La tecnica dei “symlink races” consiste proprio nello sfruttare tutto ciò: la piccola finestra temporale tra la scansione del file iniziale che rileva il file dannoso e l’operazione di pulizia che ha luogo immediatamente dopo.

Quali sono gli antivirus pericolosi

I software antivirus potenzialmente attaccabili con questo metodo sono numerosi, secondo Rack911 Labs. Su Windows 10 soffrono del bug:

  • Avast Free Anti-Virus,
  • Avira Free Anti-Virus,
  • BitDefender GravityZone,
  • Comodo Endpoint Security,
  • F-Secure Computer Protection,
  • FireEye Endpoint Security,
  • Intercept X (Sophos),
  • Kaspersky Endpoint Security,
  • Malwarebytes for Windows,
  • McAfee Endpoint Security,
  • Panda Dome e
  • Webroot Secure Anywhere.

Sul Mac gli antivirus problematici sono:

  • AVG,
  • BitDefender Total Security,
  • Eset Cyber Security,
  • Kaspersky Internet Security,
  • McAfee Total Protection,
  • Microsoft Defender (BETA),
  • Norton Security,
  • Sophos Home,
  • Webroot Secure Anywhere.

Su Linux sono a rischio:

  • BitDefender GravityZone,
  • Comodo Endpoint Security,
  • Eset File Server Security,
  • F-Secure Linux Security,
  • Kaspersy Endpoint Security,
  • McAfee Endpoint Security,
  • Sophos Anti-Virus for Linux.