I ricercatori di RACK911 Labs hanno portato alla luce un problema che riguarda ben 28 software antivirus tra i più noti in circolazione, una vulnerabilità che espone gli utenti a un attacco definito symlink race: in estrema sintesi un malintenzionato è in grado di legare un file corrotto a uno legittimo, rendendolo pressoché invisibile in fase di scansione e potendo così procedere con l’esecuzione di codice maligno a sua discrezione.
Symlink race: 28 antivirus a rischio
Nessuno è risparmiato. Interessati tool per la rimozione delle minacce nelle loro versioni per sistemi operativi Windows, macOS e Linux. Di seguito l’elenco completo dei programmi che hanno mostrato il fianco al problema. Il team ha dichiarato che alcuni di questi ancora risultano a rischio, ma senza dichiarare quali, mentre per gli altri sono già stati rilasciati aggiornamenti correttivi.
- Windows: Avast Free Anti-Virus, Avira Free Anti-Virus, BitDefender GravityZone, Comodo Endpoint Security, F-Secure Computer Protection, FireEye Endpoint Security, Intercept X (Sophos), Kaspersky Endpoint Security, Malwarebytes for Windows, McAfee Endpoint Security, Panda Dome, Webroot Secure Anywhere;
- macOS: AVG, BitDefender Total Security, Eset Cyber Security, Kaspersky Internet Security, McAfee Total Protection, Microsoft Defender (BETA), Norton Security, Sophos Home, Webroot Secure Anywhere;
- Linux: BitDefender GravityZone, Comodo Endpoint Security, Eset File Server Security, F-Secure Linux Security, Kaspersy Endpoint Security, McAfee Endpoint Security, Sophos Anti-Virus for Linux.
Aggiornamento (28/04/2020, 17.35): riceviamo in redazione e pubblichiamo la dichiarazioni in merito di Avira che manifesta apprezzamento per la segnalazione e la collaborazione fornite da RACK911 Labs.
I bug e le vulnerabilità software sono un fenomeno comune e ben noto nello sviluppo del software. Per contrastare questo problema, Avira ha collaborato con i ricercatori di tutto il mondo ed ha avviato diversi programmi di bug bounty che ci aiutano a coordinare le vulnerabilità e gli errori. RACK911 ha segnalato questo particolare bug attraverso il nostro bug bounty privato. Il bug è stato risolto con la versione 15.0.41, come confermato da Rack911. Abbiamo così offerto in cambio una ricompensa per aver posto il problema alla nostra attenzione. Apprezziamo molto il lavoro di RACK911 e di tutti gli altri ricercatori di sicurezza che agiscono in maniera così etica.
Per gli utenti il consiglio è ovviamente quello di procedere il prima possibile all’update dell’antivirus installato sul proprio computer, qualunque esso sia, così da mettersi al sicuro da potenziali falle in grado di compromettere la stabilità del sistema o la protezione dei dati.