[English readers: you can find English links in this post for your convenience]

Credo abbiate letto tutti (PI, IlSW.it, Register, IW) della ricerca di Matousec che segnala la possibilità di aggirare le funzionalità di protezione offerte da un numero elevato di prodotti Antivirus per la piattaforma Windows.

Come diversi commentatori, molto più esperti di me, hanno già indicato negli articoli che vi ho segnalato, il problema non è di fatto del tutto nuovo.

Io mi permetto di risottolineare un aspetto importante che spero porti a ridimensionare le preoccupazioni rispetto a questa tipologia di minaccia:

l’attacco può essere realizzato solo se si ha già la possibilità di eseguire del codice arbitrario sul computer della vittima, sfruttando, ad esempio, un’altra vulnerabilità.

Di fronte a questo scenario, è giusto ridurre il clamore della notizia, perché non si tratta di un problema che introduce un nuovo modo per far breccia nella sicurezza di Windows: presuppone che questa sia stata già violata in altro modo.

Avrete poi notato che nella lunga lista di prodotti indicati come affetti dalla problematica, non vi siano prodotti antivirus Microsoft: i nostri centri stanno operando le indagini del caso in collaborazione con Matousec per una risposta esaustiva, ma un dato certo è che le soluzioni antimalware di Microsoft (in particolare quello gratuito Microsoft Security Essentials e quello commerciale Microsoft Forefront Client Security) non utilizzano la tecnica indicata dell’SSDT hooking o delle modifiche al Kernel, mentre si affidano all’uso del modello di sviluppo (raccomandato) dei mini-filter driver del file system.

Feliciano

Other related posts/resources: