La sovranità del cloud è più importante che mai

Molti popolari software antivirus, tra cui Microsoft, SentinelOne, TrendMicro, Avast e AVG, possono essere sfruttati per le loro capacità di cancellazione dei dati, ha affermato un importante ricercatore di sicurezza informatica.

En un documento de prueba de concepto (se abre en una nueva pestaña) denominado «Aikido», Or Yair, que trabaja para la firma de seguridad cibernética SafeBreach, explicó cómo funciona el exploit a través de lo que se denomina un tiempo de verificación del tiempo de uso de la vulnerabilidad (TOCTOU).

In particolare, nelle arti marziali, l'aikido si riferisce a uno stile giapponese in cui il praticante cerca di usare il movimento e la forza dell'avversario contro se stesso.

Come funziona?

La vulnerabilità può essere utilizzata per facilitare una varietà di attacchi informatici noti come "Wipers" secondo Yair, che sono comunemente usati in situazioni di guerra offensiva.

Nella sicurezza informatica, un pulitore è una classe di malware destinata a pulire il disco rigido del computer che infetta, rimuovendo intenzionalmente dati e programmi.

Secondo la presentazione, l'exploit reindirizza il software di rilevamento degli endpoint "superpotere" per "eliminare qualsiasi file, indipendentemente dai privilegi".

L'intero processo descritto ha comportato la creazione di un file dannoso in "C:tempWindowsSystem32driversndis.sys".

Questo è seguito dal tenere la sua maniglia e forzare "l'AV/EDR a posticipare la rimozione fino al prossimo riavvio".

Questo è seguito dall'eliminazione della "directory C:temp" e dalla "creazione di un nodo in C:temp -> C:", seguito da un riavvio della macchina.

Solo alcuni dei marchi di antivirus più popolari sono stati interessati, circa il 50% secondo Yair.

Secondo una presentazione preparata dal ricercatore, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus e AVG Antivirus sono tra quelli interessati dalla vulnerabilità.

Fortunatamente per alcuni, prodotti come Palo Alto, XDR, Cylance, CrowdStrike, McAfee e BitDefender sono rimasti illesi.

  • Interessato ad aggiornare i tuoi strumenti di sicurezza informatica? Consulta la nostra guida ai migliori strumenti di rimozione malware
Condividi questo