Aggiornamenti recenti Aprile 23rd, 2024 2:00 PM
Dic 13, 2022 Dario Orlandi Malware, Minacce, News, RSS, Vulnerabilità 0
Or Yair, un ricercatore di SafeBreach, ha ideato una tecnica per sfruttare le funzioni degli antivirus o delle soluzioni Edr installate nel sistema per agire come un data wiper, una categoria di malware che elimina o distrugge i dati con lo scopo di danneggiare la vittima.Il ricercatore ha avuto l’idea di sfruttare le funzioni di protezione offerte dagli strumenti di sicurezza, che spesso agiscono preventivamente individuando ed eliminando i file che considerano pericolosi.
Questi tool sono infatti sempre attivi e analizzano il filesystem alla ricerca di potenziali pericoli. Il ricercatore ha spiegato che il processo di eliminazione di una minaccia si svolge generalmente in due fasi: prima il tool identifica il pericolo, e poi lo elimina. Yair ha pensato di sfruttare l’intervallo che intercorre tra i due eventi per sostituire il file originale e quindi far agire l’antivirus su dati diversi da quelli rilevati.
L’antivirus non consente modifiche ai file rilevati prima della cancellazione, ma è stato sufficiente mantenere attivo un handle per evitare il blocco da parte dell’antivirus. Il software di sicurezza non è quindi in grado di cancellare il file e suggerisce il riavvio per completare la pulizia.
Le operazioni da completare al reboot vengono memorizzate in una specifica chiave del registro, che Windows legge al riavvio eseguendo poi le istruzioni senza effettuare nessuna ulteriore verifica.
Seguendo questa strategia, il ricercatore ha creato un tool chiamato Aikido Wiper che ha poi provveduto a testare con 11 strumenti antimalware, con risultati piuttosto preoccupanti: oltre la metà dei software, infatti, è risultato vulnerabile a questa tecnica. L’elenco comprende Microsoft Defender e Defender for Endpoint, SentinelOne, TrendMicro Apex One e gli antivirus di Avast e Avg. Hanno invece resistito le soluzioni di PaloAlto, Cylance, CrowdStrike, McAfee e Bitdefender.
Il problema è stato segnalato ai produttori tra luglio e agosto, e nel frattempo la vulnerabilità è stata risolta con la distribuzione di aggiornamenti per i motori di scansione.
Apr 22, 2024 0
Apr 22, 2024 0
Apr 16, 2024 0
Apr 11, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...