Przejdź na

AVGater: popularne antywirusy podatne na atak – jak się zabezpieczyć?

Producenci nawet najpopularniejszych pakietów antywirusowych nie są bezbłędni, co od czasu do czasu skutkują sytuacją, kiedy oprogramowanie mające stanowić strażnika u bram komputera, w rzeczywistości samo stanowi otwartą bramę. Właśnie mamy do czynienia z odkryciem nowej podatności popularnych pakietów. Nie zawinili jednak ich producenci, a pomysłowe wykorzystanie dowiązań symbolicznych w opracowanym przez Microsoft systemie plików NTFS.

Obraz
Maciej Olanicki

Znaleziskiem podzielił się na swoim blogu Florian Bogner, audytor w austriackim Kapsch. Sprawa jest całkiem poważna, gdyż dotyczy najpopularniejszych programów antywirusowych, zaś sam zainfekowany plik może zyskać, z wykorzystaniem procedury kwarantanny i linków symbolicznych NTFS, uprawnienia, jakimi dysponuje sam antywirus.

Schemat działania AVGater. Źródło: Florian Bogner
Schemat działania AVGater. Źródło: Florian Bogner

Do ataku może dojść po przeniesieniu złośliwego pliku do kwarantanny. Gdy zostanie on już odizolowany, w jego miejscu atakujący może zostawić dowiązanie symboliczne, czyli plik przekierowujący do innej lokalizacji. Dowiązania takie są w NTFS-ie wykorzystywane od czasów Windowsa 2000 także jako dowiązania katalogów. Po utworzeniu dowiązania, a następnie przywróceniu pliku z kwarantanny, możliwe jest przekierowanie go do dowolnej innej lokalizacji na dysku twardym ofiary i wykonane z najwyższymi uprawnieniami.

Przed podatnością AVGater można się chronić. Bogner poinformował, że firmy Trend Micro, Emsisoft, Kaspersky Lab, Malwarebyets, Check Point (ZoneAlarm) i Ikarus udostępniły już aktualizacje zabezpieczające przed wykorzystaniem dowiązań symbolicznych – ich użytkownikom zalecamy aktualizację oprogramowania antywirusowego. Użytkownik innych programów antywirusowych zalecamy natomiast wstrzymanie się do czasu aktualizacji z przywracaniem plików z kwarantanny.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥