Aggiornamenti recenti Ottobre 25th, 2024 6:40 PM
Dic 13, 2022 Dario Orlandi Malware, Minacce, News, RSS, Vulnerabilità 0
Or Yair, un ricercatore di SafeBreach, ha ideato una tecnica per sfruttare le funzioni degli antivirus o delle soluzioni Edr installate nel sistema per agire come un data wiper, una categoria di malware che elimina o distrugge i dati con lo scopo di danneggiare la vittima.Il ricercatore ha avuto l’idea di sfruttare le funzioni di protezione offerte dagli strumenti di sicurezza, che spesso agiscono preventivamente individuando ed eliminando i file che considerano pericolosi.
Questi tool sono infatti sempre attivi e analizzano il filesystem alla ricerca di potenziali pericoli. Il ricercatore ha spiegato che il processo di eliminazione di una minaccia si svolge generalmente in due fasi: prima il tool identifica il pericolo, e poi lo elimina. Yair ha pensato di sfruttare l’intervallo che intercorre tra i due eventi per sostituire il file originale e quindi far agire l’antivirus su dati diversi da quelli rilevati.
L’antivirus non consente modifiche ai file rilevati prima della cancellazione, ma è stato sufficiente mantenere attivo un handle per evitare il blocco da parte dell’antivirus. Il software di sicurezza non è quindi in grado di cancellare il file e suggerisce il riavvio per completare la pulizia.
Le operazioni da completare al reboot vengono memorizzate in una specifica chiave del registro, che Windows legge al riavvio eseguendo poi le istruzioni senza effettuare nessuna ulteriore verifica.
Seguendo questa strategia, il ricercatore ha creato un tool chiamato Aikido Wiper che ha poi provveduto a testare con 11 strumenti antimalware, con risultati piuttosto preoccupanti: oltre la metà dei software, infatti, è risultato vulnerabile a questa tecnica. L’elenco comprende Microsoft Defender e Defender for Endpoint, SentinelOne, TrendMicro Apex One e gli antivirus di Avast e Avg. Hanno invece resistito le soluzioni di PaloAlto, Cylance, CrowdStrike, McAfee e Bitdefender.
Il problema è stato segnalato ai produttori tra luglio e agosto, e nel frattempo la vulnerabilità è stata risolta con la distribuzione di aggiornamenti per i motori di scansione.
Ott 22, 2024 0
Ott 15, 2024 0
Ott 14, 2024 0
Ott 09, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 24, 2024 0
Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 21, 2024 0
Le aziende si espandono e con esse anche i loro ambienti,...Ott 21, 2024 0
Di recente il team di Group-IB è riuscito a ottenere...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 25, 2024 0
Tra le figure più richieste sul mercato del lavoro ci...Ott 25, 2024 0
Oltre 6.000 siti WordPress hackerati per installare plugin...Ott 24, 2024 0
Il team di Symantec ha scoperto che molte applicazioni...Ott 24, 2024 0
Gli attacchi ibridi alle password sono sempre più...Ott 23, 2024 0
Un’approfondita analisi dei ricercatori di sicurezza...