AVGater: popularne antywirusy podatne na atak – jak się zabezpieczyć?

Producenci nawet najpopularniejszych pakietów antywirusowych nie są bezbłędni, co od czasu do czasu skutkują sytuacją, kiedy oprogramowanie mające stanowić strażnika u bram komputera, w rzeczywistości samo stanowi otwartą bramę. Właśnie mamy do czynienia z odkryciem nowej podatności popularnych pakietów. Nie zawinili jednak ich producenci, a pomysłowe wykorzystanie dowiązań symbolicznych w opracowanym przez Microsoft systemie plików NTFS.

Znaleziskiem podzielił się na swoim blogu Florian Bogner, audytor w austriackim Kapsch. Sprawa jest całkiem poważna, gdyż dotyczy najpopularniejszych programów antywirusowych, zaś sam zainfekowany plik może zyskać, z wykorzystaniem procedury kwarantanny i linków symbolicznych NTFS, uprawnienia, jakimi dysponuje sam antywirus.

Do ataku może dojść po przeniesieniu złośliwego pliku do kwarantanny. Gdy zostanie on już odizolowany, w jego miejscu atakujący może zostawić dowiązanie symboliczne, czyli plik przekierowujący do innej lokalizacji. Dowiązania takie są w NTFS-ie wykorzystywane od czasów Windowsa 2000 także jako dowiązania katalogów. Po utworzeniu dowiązania, a następnie przywróceniu pliku z kwarantanny, możliwe jest przekierowanie go do dowolnej innej lokalizacji na dysku twardym ofiary i wykonane z najwyższymi uprawnieniami.

Przed podatnością AVGater można się chronić. Bogner poinformował, że firmy Trend Micro, Emsisoft, Kaspersky Lab, Malwarebyets, Check Point (ZoneAlarm) i Ikarus udostępniły już aktualizacje zabezpieczające przed wykorzystaniem dowiązań symbolicznych – ich użytkownikom zalecamy aktualizację oprogramowania antywirusowego. Użytkownik innych programów antywirusowych zalecamy natomiast wstrzymanie się do czasu aktualizacji z przywracaniem plików z kwarantanny.