Antivirus giocati da uno zip

Basta un file zip lievemente modificato per bypassare i controlli di molti software antivirus e consentire ad un codice virale di passare, ad esempio, attraverso le barriere di sicurezza perimetrali di un'azienda
Basta un file zip lievemente modificato per bypassare i controlli di molti software antivirus e consentire ad un codice virale di passare, ad esempio, attraverso le barriere di sicurezza perimetrali di un'azienda


Roma – Che gli antivirus non riescano a “guardare” dentro certi file compressi non è una novità, tuttavia una recente scoperta ha destato l’attenzione degli esperti di sicurezza: alcuni celebri scanner antivirus possono essere ingannati da un semplice file zip a cui siano stati modificati pochi byte.

Il problema riguarda alcuni prodotti antivirus di McAfee, Computer Associates, Kaspersky, Sophos, Eset e RAV, e consiste in un non corretto parsing dell’intestazione dei file zip: questo potrebbe dare la possibilità ad un malintenzionato di comprimere un codice malevolo per evadere il controllo di un software antivirus. La vulnerabilità non è particolarmente pericolosa per chi dispone di un antivirus aggiornato: il codice malevolo, se noto, viene infatti “smascherato” dall’antivirus non appena decompresso. Ciò che desta preoccupazione è il fatto che con questa tecnica i creatori di virus potrebbero facilmente aggirare i controlli dei server, soprattutto quelli di posta, e indurre gli utenti sprovvisti di un antivirus aggiornato a “fidarsi” dell’estensione “.zip” e lanciare quanto contenuto nell’archivio.

“La vulnerabilità deriva dalla combinazione di un’errata valutazione a priori della dimensione del file zip da parte dell’antivirus e dal comportamento alquanto curioso della funzione di autoriparazione dei file zip danneggiati”, ha spiegato a Punto Informatico Roberto Preatoni, del portale sulla sicurezza Zone-h.it . “La tecnica per sfruttare tale vulnerabilità è relativamente semplice e consiste nel modificare alcuni header in modo che il file zip appaia con una dimensione di 0 byte. Ciò inganna molti software antivirus, inducendoli a non effettuare alcuna scansione e, di conseguenza, a ignorare l’eventuale codice malevolo”.

“Bisogna però dire – ha continuato Preatoni – che la tecnica di exploiting si basa anche su una caratteristica particolare del motore di WinZip, Cartelle Compresse di Windows e forse anche di altri software di compressione: quando un file zip viene troncato per motivi sconosciuti, la lunghezza indicata dagli header ovviamente non corrisponde più alla dimensione effettiva e così il motore del compressore cerca di riparare il file correggendo il valore delle intestazioni. Il problema sta nel fatto che questi programmi chiedono sempre il permesso dell’utente prima di correggere il file tranne quando quest’ultimo riporta una dimensione di 0 byte: in questo caso, sia WinZip che Cartelle Compresse di Windows procedono automaticamente alla riparazione senza chiedere preventiva autorizzazione all’utente”.

“Fortunatamente le case produttrici dei prodotti fallati si sono già messe all’opera per risolvere questa vulnerabilità e a breve sarà disponibile una patch. Nel frattempo, si consiglia di non aprire nessun file zip proveniente da fonti sconosciute”, ha avvisato Gerardo Di Giacomo, di Zone-h.it.

L’esperto di sicurezza Davide Del Vecchio sostiene tuttavia che i rischi per la sicurezza derivanti da questa debolezza sono assai contenuti, almeno per gli utenti e le aziende “giudiziosi”.

“In una situazione reale l’archivio modificato riuscirebbe a evitare i controlli effettuati dall’antivirus presente sul server di posta, ma verrebbe comunque bloccato dall’antivirus presente sulla postazione del singolo utente non appena l’archivio fosse decompresso”, ha spiegato Del Vecchio. “L’uso di un antivirus sulle postazioni di lavoro è necessario, ed è impensabile ritenersi protetti contro i codici malevoli utilizzando soltanto un antivirus installato su di un server perimetrale, come ad esempio quello di posta”.

Link copiato negli appunti

Ti potrebbe interessare

20 10 2004
Link copiato negli appunti