Antivirus bucati? Si, da 14 anni

Una società di ricerca pubblica i dettagli di quello che a suo dire è un attacco da cui nessun antivirus sarebbe immune. La teoria è nota già da parecchi anni, ma in pratica...

Roma – Molti, se non tutti gli antivirus attualmente in circolazione per sistemi Windows soffrirebbero di una vulnerabilità “storica” di notevole gravità , grazie alla quale un malware sufficientemente sofisticato potrebbe bypassare la scansione in tempo reale e prendere agilmente il controllo del sistema bersaglio. Lo denuncia Matousec , addolcendo la pillola con la constatazione della non banale difficoltà di implementazione richiesta dall’attacco.

Il baco, dice la società di ricerca, interessa tutti i software di sicurezza che sfruttano l’ hooking nel kernel di Windows attraverso la System Service Descriptor Table (SSDT) per monitorare il comportamento del software in esecuzione. Sfruttando i ridottissimi tempi di risposta connessi alle operazioni di switch tra i processi, un eventuale agente patogeno progettato per sfruttare il baco potrebbe superare agilmente la protezione dell’antivirus e compiere ogni genere di azione malevola – installazione di un driver di periferica fittizio, chiamata di una funzione non documentata e quant’altro.

Il problema, come già detto, è noto da parecchio tempo e già 14 anni fa gli è stato affibbiata la definizione di bug time-of-check-to-time-of-use . Dei 34-35 software di sicurezza testati, sostiene Matousec, il 100 per cento è risultato vulnerabile inclusi nomi blasonati del settore come McAfee, BitDefender, F-Secure, Trend Micro, Kaspersky e Sophos.

Le società interessate ammettono l’esistenza della vulnerabilità, e tuttavia tendono a ridimensionare l’allarme lanciato da Motusec per via delle problematiche connesse al suo sfruttamento. Per realizzare un exploit pienamente funzionante, infatti, un eventuale cracker o malware writer dovrebbe agire con pieni poteri di esecuzione di codice sulla macchina in locale.

Anche ipotizzando l’impiego di un secondo exploit per depositare il codice sul sistema, inoltre, la sensibilità delle operazioni di context switching (del passaggio cioè tra due processi attivi in memoria) richiede una temporizzazione estremamente precisa nell’esecuzione del payload , che si “rilassa” un po’ nel caso delle CPU multi-core.

Più che a risolvere una vulnerabilità teorica risalente quasi a tre lustri fa, insomma, le società di sicurezza parrebbero interessate ad affrontare i problemi posti dalla quotidianità e dalle nuove applicazioni di computing rese possibili dall’evoluzione tecnologica. Ne è esempio perfetto la messa a punto della tecnologia HyperSafe , sistema che include una serie di accorgimenti pensati per inibire la possibile “fuga” di malware eseguito all’interno di una macchina virtuale e l’eventuale infezione a catena delle altre virtual machine presenti nello stesso sistema distribuito, sotto il controllo del medesimo hypervisor.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • midall scrive:
    voghera?
    che c'entra voghera?
    • KingOfSka scrive:
      Re: voghera?
      - Scritto da: midall
      che c'entra voghera?Mai sentito parlare della famosa casalinga di voghera?
      • midall scrive:
        Re: voghera?
        si certo sono di voghera, ma le casalinghe usano tutte facebook :-)
      • Cesare L. scrive:
        Re: voghera?
        Io ho sentito parlare spesso della casalinga di Voghera, e soprattutto da persone che non ne hanno mai vista una, ma sanno fare proprie le frasi comuniOra mi chiedo chi ha la mentalità più ristretta e semplicistica?OGNUNO SI TENGA LE PROPRIE CASALINGHE.
Chiudi i commenti