Antivirus giocati da uno zip

Basta un file zip lievemente modificato per bypassare i controlli di molti software antivirus e consentire ad un codice virale di passare, ad esempio, attraverso le barriere di sicurezza perimetrali di un'azienda


Roma – Che gli antivirus non riescano a “guardare” dentro certi file compressi non è una novità, tuttavia una recente scoperta ha destato l’attenzione degli esperti di sicurezza: alcuni celebri scanner antivirus possono essere ingannati da un semplice file zip a cui siano stati modificati pochi byte.

Il problema riguarda alcuni prodotti antivirus di McAfee, Computer Associates, Kaspersky, Sophos, Eset e RAV, e consiste in un non corretto parsing dell’intestazione dei file zip: questo potrebbe dare la possibilità ad un malintenzionato di comprimere un codice malevolo per evadere il controllo di un software antivirus. La vulnerabilità non è particolarmente pericolosa per chi dispone di un antivirus aggiornato: il codice malevolo, se noto, viene infatti “smascherato” dall’antivirus non appena decompresso. Ciò che desta preoccupazione è il fatto che con questa tecnica i creatori di virus potrebbero facilmente aggirare i controlli dei server, soprattutto quelli di posta, e indurre gli utenti sprovvisti di un antivirus aggiornato a “fidarsi” dell’estensione “.zip” e lanciare quanto contenuto nell’archivio.

“La vulnerabilità deriva dalla combinazione di un’errata valutazione a priori della dimensione del file zip da parte dell’antivirus e dal comportamento alquanto curioso della funzione di autoriparazione dei file zip danneggiati”, ha spiegato a Punto Informatico Roberto Preatoni, del portale sulla sicurezza Zone-h.it . “La tecnica per sfruttare tale vulnerabilità è relativamente semplice e consiste nel modificare alcuni header in modo che il file zip appaia con una dimensione di 0 byte. Ciò inganna molti software antivirus, inducendoli a non effettuare alcuna scansione e, di conseguenza, a ignorare l’eventuale codice malevolo”.

“Bisogna però dire – ha continuato Preatoni – che la tecnica di exploiting si basa anche su una caratteristica particolare del motore di WinZip, Cartelle Compresse di Windows e forse anche di altri software di compressione: quando un file zip viene troncato per motivi sconosciuti, la lunghezza indicata dagli header ovviamente non corrisponde più alla dimensione effettiva e così il motore del compressore cerca di riparare il file correggendo il valore delle intestazioni. Il problema sta nel fatto che questi programmi chiedono sempre il permesso dell’utente prima di correggere il file tranne quando quest’ultimo riporta una dimensione di 0 byte: in questo caso, sia WinZip che Cartelle Compresse di Windows procedono automaticamente alla riparazione senza chiedere preventiva autorizzazione all’utente”.

“Fortunatamente le case produttrici dei prodotti fallati si sono già messe all’opera per risolvere questa vulnerabilità e a breve sarà disponibile una patch. Nel frattempo, si consiglia di non aprire nessun file zip proveniente da fonti sconosciute”, ha avvisato Gerardo Di Giacomo, di Zone-h.it.

L’esperto di sicurezza Davide Del Vecchio sostiene tuttavia che i rischi per la sicurezza derivanti da questa debolezza sono assai contenuti, almeno per gli utenti e le aziende “giudiziosi”.

“In una situazione reale l’archivio modificato riuscirebbe a evitare i controlli effettuati dall’antivirus presente sul server di posta, ma verrebbe comunque bloccato dall’antivirus presente sulla postazione del singolo utente non appena l’archivio fosse decompresso”, ha spiegato Del Vecchio. “L’uso di un antivirus sulle postazioni di lavoro è necessario, ed è impensabile ritenersi protetti contro i codici malevoli utilizzando soltanto un antivirus installato su di un server perimetrale, come ad esempio quello di posta”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    URKA che bello ....
    Complimenti per l'innovazione !Non ci aveva pensato proprio nessuno prima ... a parte una cinquantina di aziende in giro per il mondo che da 20 anni a questa parte cercano di contendersi una fetta di mercato, resa inconsistente dai gestori di telefonia.Tra un pò lo voglio vedere in tutti gli uffici pubblici , tanto con SB (*) vedrai che ce lo renderanno obbligatorio dal 2006.(*) Steve Ballmer .... cosa avevate capito.
    • Anonimo scrive:
      Re: URKA che bello ....
      - Scritto da: Anonimo
      Complimenti per l'innovazione !

      Non ci aveva pensato proprio nessuno prima
      ... a parte una cinquantina di aziende in
      giro per il mondo che da 20 anni a questa
      parte cercano di contendersi una fetta di
      mercato, resa inconsistente dai gestori di
      telefonia.

      Tra un pò lo voglio vedere in tutti
      gli uffici pubblici , tanto con SB (*)
      vedrai che ce lo renderanno obbligatorio dal
      2006.

      (*) Steve Ballmer .... cosa avevate capito.

      non ci dormite la notte voi trolloni per dire ste ca**ateti meriti il bollino del (troll)
  • Anonimo scrive:
    Thanks Bill
    http://www.2dorks.com/fameshame/gates.jpg(win)
    • Anonimo scrive:
      Re: Thanks Bill
      - Scritto da: Anonimo
      www.2dorks.com/fameshame/gates.jpg

      (win)per i miei schiavi questo ed altro!http://www.kls2.com/~karl/random/herr-gates.jpg
  • Anonimo scrive:
    Re: Voip cresce
    Mi sembra che prima dell'estate c'era anche un'altra che sfruttava il SIP...VoIPvoice, iVoice, ipVoice mica mi ricordo come si chiamava :s comunque non mi sembra che sia decollato, forse e' ancora in beta:DSarebbe interessante sapere anche il parere di chi ha avuto occasione di provare AliceMia:)
    • Anonimo scrive:
      Re: Voip cresce
      - Scritto da: Anonimo
      Mi sembra che prima dell'estate c'era anche
      un'altra che sfruttava il SIP...
      VoIPvoice, iVoice, ipVoice mica mi ricordo
      come si chiamava :s iVoice.it?comunque non mi sembra
      che sia decollato, forse e' ancora in beta:D
      Sarebbe interessante sapere anche il parere
      di chi ha avuto occasione di provare
      AliceMia:)Comunque forse e' utile solo per avere +numeri...Le chiamate VoIP le fatturano lo stesso:(
  • Anonimo scrive:
    ma instanbul...
    non era il nome di una città?o ricordo male?se è cosi la popolazione di instanbul deve stare attenta,altrimenti si trova copyrightato(per un prodotto MS) il nome della propria città[andrew]
    • Giambo scrive:
      Re: ma instanbul...
      - Scritto da: Anonimo
      non era il nome di una città?o
      ricordo male?Si, citta' turca sul Bosforo, meta' in Europa e meta' in Asia.Citta' incredibile, da visitare.http://en.wikipedia.org/wiki/Istanbul
  • soulista scrive:
    il significato di istanbul...
    che sia istan(t) bul(lshit)? (stronzata... istantanea!)Ahahahah... scusate la battuta... sarà l'aria viziata che c'é tra i post di questa notizia.
    • Anonimo scrive:
      Re: il significato di istanbul...
      :D :D :D :D
    • Anonimo scrive:
      Re: il significato di istanbul...
    • Anonimo scrive:
      Re: il significato di istanbul...
      - Scritto da: soulista
      che sia istan(t) bul(lshit)? (stronzata...
      istantanea!)

      Ahahahah... scusate la battuta...
      sarà l'aria viziata che c'é
      tra i post di questa notizia.ecco appunto.... apri la finestra così le c****e ke dici se ne escono...... (troll)
  • Anonimo scrive:
    Telefonia Microsoft: FINALMENTE !!!
    Finalmente niente schermate blu !!!!Almeno fino a che non metteranno un display a colori sul telefono fisso...
  • Anonimo scrive:
    un altro tentacolo di M$
    ...mmm... Microsoft mi sembra sempre più una di quelle megacorporazioni dei romanza cyberpunk... si intrufola in tutto quello che può, cercando di raggiungerne il monopolio...ma (linux) avanza...
    • Anonimo scrive:
      Re: un altro tentacolo di M$
      - Scritto da: Anonimo
      ma (linux) avanza...Sì! Avanza dall' 1 al 2%.........ahahahahahahahaha
      • Anonimo scrive:
        Re: un altro tentacolo di M$

        Sì! Avanza dall' 1 al
        2%.........ahahahahahahahahac'e' poco da ridere, se tu avessi un po' di cervello (ipotesi improbabile) potresti anche capire perche'.
      • Anonimo scrive:
        Re: un altro tentacolo di M$
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        ma (linux) avanza...

        Sì! Avanza dall' 1 al
        2%.........ahahahahahahahahafatti, non pugnette come linux...... haahahahhaa(win)a
    • Anonimo scrive:
      Re: un altro tentacolo di M$
      - Scritto da: Anonimo
      ...mmm... Microsoft mi sembra sempre
      più una di quelle megacorporazioni
      dei romanza cyberpunk... si intrufola in
      tutto quello che può, cercando di
      raggiungerne il monopolio...Strano vero???? ora mi domando solo una cosa , anzi due : a quando M$ come ISP??? e come si comporteranno tutti gli operatori del settore TLC nel mondo adesso che il monopolio minaccia acnhe loro??? Staremo a vedere : "Billzilla contro l'Unione delle TLC" presto nel tuo Cinema in Streaming di Fiducia M$ oppure SkyWorld.


      ma (linux) avanza...Dimentichi che c'è anche Skype ;) Barone dello Zwanlandshire(linux)
      • Anonimo scrive:
        Re: un altro tentacolo di M$
        Ma un tempo c'era già M$ come ISP solo negli USA e in alcuni paesi europei
        • Anonimo scrive:
          Re: un altro tentacolo di M$
          il servizio di connettività era stato chiuso perchè Windows 95 crashava quando arrivava un ping :)Quindi chiusero la rete per non avere questi problemi.
          • Anonimo scrive:
            Re: un altro tentacolo di M$
            - Scritto da: Anonimo
            il servizio di connettività era stato
            chiuso perchè Windows 95 crashava
            quando arrivava un ping :)
            Quindi chiusero la rete per non avere questi
            problemi.Cos'era, la famigerata M$ Network?E bastava davvero un ping per buttar giu' i ''server''?Mammamia, ma chi programma(va) lo stack tcp/ip alla M$, Bill Gates?!:DPS: altro che rete, una canna da pesca senza amo, ma come lenza il povero ignaro pescatore aggrovigliato mortalmente dal filo del mulinello!:D
  • Anonimo scrive:
    Re: Voip cresce
    - Scritto da: Anonimo
    Microsoft può fare quel che vuole.Vero, tanto nessuno se la fila quando esce con queste "trovate".Non passa mese che la Microsoft non annunci chissa' quale novita' solo per far dimenticare il flop della precedente
  • Anonimo scrive:
    Re: oddio
Chiudi i commenti