Antivírus podem ser enganados para removerem dados do sistema
Quando se instala um antivírus num sistema, espera-se que o mesmo seja usado para proteger o mesmo de ataques externos. No entanto, estes programas tendem a manter um nível de acesso bastante elevado dentro do sistema operativo – e com potencial de causar danos se usado para as tarefas contrárias ao desejado.
Recentemente um investigador revelou ter descoberto uma forma de “enganar” alguns dos mais populares softwares de segurança no mercado, tornando-os em programas de eliminação de dados do sistema.
O investigador afirma que foi capaz de realizar esta tarefa nos programas de segurança da Microsoft, SentinelOne, TrendMicro, Avast e AVG, basicamente tornando-os em “malware”.
O investigador Or Yair teve esta ideia aproveitando a base de acesso que os antivírus normalmente possuem para o sistema operativo. O mesmo terá descoberto que, usando alguns truques, é possível levar os programas de segurança a eliminarem conteúdos do sistema considerados como fundamentais – como pastas dos utilizadores ou até mesmo pastas do próprio sistema operativo – basicamente tornando o antivírus numa espécie de “malware”.
A maioria dos softwares de segurança contam com uma monitorização ativa e permanente, e quando identificam ficheiros maliciosos, procedem com a quarentena dos ficheiros ou até mesmo a eliminação dos mesmos. Aproveitando essa ideia, o investigador terá conseguido fazer com que os programas considerem pastas do sistema como “malware”, levando à sua eliminação.
O mais grave desta situação é que o “truque” nem necessita que os utilizadores tenham propriamente grande acesso ao sistema. Um utilizador com privilégios regulares pode levar à ativação do mesmo, levando o antivírus a remover componentes essenciais do sistema e a tornar o mesmo inacessível.
O investigador afirma que a falha pode ser explorada no Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus, e AVG Antivírus.
Ao mesmo tempo, foram também feitos testes sem sucesso sobre os softwares da Palo Alto, Cylance, CrowdStrike, McAfee, e BitDefender. Nestes casos, os programas não realizaram as atividades de remoção dos conteúdos – e portanto estão seguros.
A recomendação para os utilizadores dos programas afetados será que mantenham os mesmos atualizados para as versões mais recentes, uma vez que as empresas em questão terão sido notificadas do problema e encontram-se a fornecer a correção para a mesma.