I ricercatori di Matousec hanno scoperto una nuova tecnica in grado di confondere i software antivirus e di permettere l’esecuzione di malware.
Il gruppo di ricerca indipendente Matousec ha scoperto un nuovo metodo in grado di confondere la stragrande maggioranza dei pacchetti antivirus disponibili per sistemi operativi Windows e bypassare, quindi, i relativi sistemi di protezione.Si inviano porzioni di codice benigno, che il software antivirus provvede ad analizzare. Poiché il codice è considerato innocuo, il programma dà il via libera all’esecuzione. L’idea è di sfruttare una ridotta finestra di tempo per sostituire il codice benigno con malware, che viene eseguito senza che il software antivirus possa rendersene conto. L’invio di codice innocuo serve, quindi, da esca. In altri termini, dopo che un programma antivirus consente una determinata operazione ritenuta innocua, in un arco di tempo molto limitato un secondo thread si occupa di modificare i parametri prima che il comando venga effettivamente eseguito. È in quell’istante che eventuali malintenzionati potrebbero portare sulla macchina codice malware. Una tecnica, sottolineano gli esperti di Matousec, in grado di essere efficace anche quando Windows è in esecuzione con un account con privilegi limitati. I test sono stati condotti con un proof-of-concept denominato KHOBE (Kernel HOok Bypassing Engine) e dai risultati emerge che tutti i software antivirus presi in esame sono vulnerabili. Solo per citarne alcuni, avast!, AVG, Avira, G-Data, Kaspersky, McAfee, Norton, BitDefender, Panda, Trend Micro e ZoneAlarm.
Nessun commento:
Posta un commento