In occasione del Black Hat Europe 2022, un ricercatore di sicurezza informatica ha dimostrato che è possibile dirottare i principali software antivirus come Avast e Microsoft Defender presenti sul mercato e trasformarli in wipers, malware in grado di cancellare i file legittimi sui PC presi di mira.
Ogni anno si tengono le conferenze Black Hat, che riuniscono numerosi esperti di sicurezza informatica provenienti da agenzie governative, aziende specializzate e gli hacker più rispettati del settore.
L’edizione europea del 2022, che si è svolta a Londra dal 5 all’8 dicembre, è stata l’occasione per evidenziare un proof of concept (POC) piuttosto sorprendente. Or Yair, un ricercatore di sicurezza informatica di SafeBreach, ha dimostrato come sia possibile dirottare le soluzioni antivirus per eliminare in modo permanente o cancellare i file legittimi presenti sul PC.
Come forse sapete, Avast, Microsot Defender e AVG hanno tutti la capacità di eliminare o mettere in quarantena automaticamente i file identificati come dannosi. Questo è il principio su cui si basa la falla sfruttata da Or Yair. L’obiettivo è semplice: fare in modo che il software antivirus elimini un file legittimo anziché un documento danneggiato.
Per spingere il software antivirus a eliminare i file legittimi
A tal fine, il ricercatore si rivolgerà a un meccanismo che non è soggetto all’acquisizione di privilegi: le giunzioni. Attraverso gli attacchi TOCTOU (Time-of-check to Time-of-use), l’hacker cercherà di inserirsi tra le fasi di rilevamento e di eliminazione del file.
Qui c’è un semplice esempio:
- L’hacker vuole eliminare un driver che si trova nella cartella /Windows/Systems32/Drivers
- Copia questa cartella, ma in /temp (modificabile senza privilegi)
- In questa cartella, l’hacker ha creato un file dannoso con lo stesso nome del driver
- Dopo che l’antivirus ha rilevato il file, ma appena prima che venga eliminato, l’hacker lo rimuove da /temp prima di impostare un collegamento alla cartella originale
- Il driver viene quindi cancellato al posto del file dannoso
6 programmi antivirus su 11 vulnerabili a questa falla di sicurezza
Tuttavia, come spiega Or Yair, il software antivirus tende a impedire l’eliminazione di un file dannoso dopo la sua creazione. Per aggirare questo meccanismo, ha subordinato l’operazione di cancellazione a un riavvio. In effetti, il software antivirus conserva un elenco di file da eliminare dopo un riavvio. E, cosa importante, gestiscono anche le giunzioni.
Secondo il ricercatore, sei degli undici prodotti software testati erano vulnerabili, tra cui Microsoft Defender, Defender for Endpoint, SentinelOne EDR, Trend Micro Apex One, Avast Antivirus e AVG Antivirus. Facciamo notare che queste vulnerabilità sono state patchate da quando sono state segnalate nell’estate del 2022 da Microsoft, Trend Micro, Avast e AVG.