28 antivírus estavam sendo "enganados" e excluindo arquivos importantes

Por Wagner Wakka | 27 de Abril de 2020 às 11h14

Um grupo de pesquisadores em segurança do RACK911 descobriu que 28 dos principais softwares antivírus do mercado estavam suscetíveis a um método de exploração chamado “symlink race”. Ele leva esse nome por exigir velocidade para ser executado, explorando o intervalo de tempo entre um antivírus identificar um arquivo malicioso e apagá-lo do sistema.

O método funciona da seguinte forma: o hacker cria um arquivo malicioso com mesma estrutura e nome de outro arquivo importante dentro do computador da vítima. No intervalo entre o antivírus detectar o problema e apagar o item malicioso, o arquivo “convence” o antivírus de que o documento legítimo é que deve ser eliminado. Assim, o item malicioso substitui o original.

Explorando essa vulnerabilidade, um hacker poderia fazer várias ações, como forçar o antivírus a apagar arquivos essenciais para o sistema operacional, ou um documento importante que o usuário tenha em seu PC. Ou seja, conseguiria inserir e retirar itens do aparelho da vítima, tornando-o até incapaz de ser utilizado.

Os pesquisadores do RACK911 têm buscado bugs relacionados ao symlink race em antivírus desde 2018 e chegaram a uma lista com 28 soluções vulneráveis ao método. Depois do aviso do grupo, as empresas liberaram atualizações para livrar seus softwares do problema. São eles:

Windows

  • Avast Free Anti-Virus
  • Avira Free Anti-Virus
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure Computer Protection
  • FireEye Endpoint Security
  • Intercept X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes for Windows
  • McAfee Endpoint Security
  • Panda Dome
  • Webroot Secure Anywhere

macOS

  • AVG
  • BitDefender Total Security
  • Eset Cyber Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Secure Anywhere

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset File Server Security
  • F-Secure Linux Security
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus for Linux

O grupo também testou outros modelos de antivírus do mercado, que ainda contam com a vulnerabilidade. Contudo, não listou quais são eles.

O RACK911 lembra que, apesar dos bugs, a ação não é simples de ser realizada. Isso porque é preciso adicionar um arquivo no computador da vítima, o que exigiria acesso físico ou remoto ao aparelho. Assim, o symlink race funciona mais como um método depois que já se invadiu o computador do que um ataque inicial.

A descrição completa da pesquisa está disponível no site do RACK911.

Em resposta, a Avast se defendeu dizendo que a falha não se aplica a seus produtos. "O cenário descrito no artigo não se aplica aos produtos de Antivírus Avast ou AVG, gratuitos ou pagos, porque as verificações feitas pelos módulos File Shield tanto Avast quanto AVG detectam e bloqueiam o ataque”, disse a companhia ao Canaltech.

Já a Kaspersky reforçou que foi contactada antes da publicação do material pelo RACK911 e tomou providências sobre o assunto: 

A Kaspersky está ciente das pesquisas realizadas pelo Rack911 Labs que demonstram como evitar a detecção antivírus em diferentes produtos de segurança, incluindo os oferecidos pela Kaspersky. O Rack911 Labs reportou os problemas de segurança à Kaspersky com antecedência à publicação da pesquisa: em setembro-outubro de 2018, afetando o Kaspersky Endpoint Security para Windows e o Kaspersky Endpoint Security para Linux, e em março de 2019, para o Kaspersky Internet Security para Mac. As correções para estes produtos Kaspersky foram disponibilizados aos usuários por meio de atualização relevante. Isto significa que os produtos Kaspersky não estão expostos a este método para evitar a detecção do antivírus descrito na pesquisa". 

Segundo a própria Kaspersky, os modelos afetados foram (todos já com correção)

  • Kaspersky Endpoint Security 11.1 ou posterior.
  • Kaspersky Endpoint Security para Linux 10mr1 ou posterior.
  • Kaspersky Internet Security 2019 ou posterior.
  • Kaspersky Internet Security para Mac 2020 Patch A ou posterior.

*Matéria atualizada em 30/04 com posicionamentos de Avast e Kaspersky. 

Fonte: RACK911

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.