Vários softwares antivírus possuem vantagens em relação aos concorrentes, isso é um fator decisivo na hora do consumidor escolher qual se adequa melhor às suas necessidades. No entanto, de acordo com pesquisadores de segurança do Rack911 Labs, muitos deles possuem pontos fracos em comum.

Em um relatório de falhas, divulgado pela empresa, foi detectado que 28 programas antivírus conhecidos, como o Microsoft Defender e Avast, possuíam bugs que permitiam que cibercriminosos excluíssem arquivos necessários ou explorassem falhas que tinham como finalidade a instalação de malware.

A técnica utilizada pelos hackers, conhecida como “corrida de links simbólicos”, se aproveitava de links para juntar diretórios e vincular arquivos maliciosos a versões legítimas durante o intervalo em que os arquivos são verificados e considerados maliciosos até o antivírus intervir para remover a ameaça. Nesse período, os criminosos podem agir.

Programas afetados pelo bug

A abordagem não funciona apenas em softwares e arquivos, mas também em plataformas. A única diferença é que existem técnicas distintas para Windows, Macs e Linux, diz a Rack911. Confira a lista de programas afetados dividida por plataforma:

Reprodução

As vulnerabilidades de corrida de link simbólico são frequentemente usadas para vincular arquivos maliciosos a itens com privilégios mais altos, resultando em ataques de elevação de privilégio (EoP). Com isso, os criminosos tinham acesso irrestrito ao dispositivo das vítimas.

Felizmente, os pesquisadores observam que as falhas já foram corrigidas de forma silenciosa pela maioria das empresas. No entanto, algumas delas, não identificadas pelos especialistas, ainda não resolveram os problemas.

Por fim, a companhia de segurança alerta que se aproveitar desse tipo de bug é algo trivial. Além de reduzir a eficácia do antivírus, essa falha torna um malware muito mais perigoso para os invasores que souberem da existência do erro.

Por esse motivo, a recomendação dos especialistas é de sempre manter seu software de segurança atualizado, mesmo que seja apenas para reduzir possíveis danos caso algum agente malicioso comprometa o sistema.

Posicionamento Avast:

“O cenário descrito no artigo não se aplica aos produtos de Antivírus Avast ou AVG, gratuitos ou pagos, porque as verificações feitas pelos módulos File Shield tanto Avast quanto AVG detectam e bloqueiam o ataque”.

Posicionamento Kaspersky:

“A Kaspersky está ciente das pesquisas realizadas pelo Rack911 Labs que demonstram como evitar a detecção antivírus em diferentes produtos de segurança, incluindo os oferecidos pela Kaspersky.
O Rack911 Labs reportou os problemas de segurança à Kaspersky com antecedência à publicação da pesquisa: em setembro-outubro de 2018, afetando o Kaspersky Endpoint Security para Windows e o Kaspersky Endpoint Security para Linux, e em março de 2019, para o Kaspersky Internet Security para Mac. As correções para estes produtos Kaspersky foram disponibilizados aos usuários por meio de atualização relevante. Isto significa que os produtos Kaspersky não estão expostos a este método para evitar a detecção do antivírus descrito na pesquisa.”

Via: Engadget