Alcuni ricercatori hanno rilevato importanti punti deboli nei tradizionali software antivirus che potrebbero essere utilizzati per disattivare la loro protezione e sconfiggere le difese anti-ransomware.

E’ importante sottolineare che i software antivirus offrono sempre alti livelli di sicurezza e sono un elemento essenziale e imprescindibile nella difesa delle aziende ma bisogna prestare attenzione all’evoluzione delle tecniche di attacco e porvi rimedio attraverso l’integrazione con altri strumenti difesa.

La prima debolezza critica (sfruttabile dall’attacco denominato “Cut-and-Mouse”) nasce dal fatto che anche per i folder protetti esiste un piccolo set di applicazioni nella whitelist che ha i privilegi per poter scrivere nelle cartelle protette. Il problema è che tali applicazioni privilegiate in whitelist (come ad esempio Blocco note o Paint) non sono protette dall’uso improprio da parte di altre applicazioni. La vulnerabilità consiste quindi nel fatto che un malware può eseguire operazioni su cartelle protette utilizzando le applicazioni nella whitelist come intermediari.

Una seconda debolezza è sfruttata dall’attacco chiamato “Ghost Control Attack”, che mira a eludere la funzione di protezione delle cartelle simulando eventi di “click” del mouse. La disattivazione fraudolenta della protezione antimalware in tempo reale simulando azioni legittime dell’utente eseguite sull’interfaccia di una soluzione antivirus potrebbe consentire di eliminare o eseguire qualsiasi programma non autorizzato da un server remoto sotto il controllo dell’attaccante.

Dei 29 antivirus anonimamente valutati durante la ricerca, 14 sono stati ritenuti vulnerabili all’attacco Ghost Control, mentre tutti e 29 sono risultati a rischio per l’attacco Cut-and-Mouse.

Qual è la conclusione: la necessita di avere un antivirus come protezione è indiscussa, come pure lo è la necessità di avere una protezione aggiuntiva per tutte le altre tipologie di attacco rilevabili da motori di analisi comportamentale e non virale.

https://thehackernews.com/2021/06/malware-can-use-this-trick-to-bypass.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29&_m=3n.009a.2495.pk0ao06z5r.1kw8