Citazione:

---

Gli esperti di sicurezza avvertono della scoperta di un grave falla nelle versioni della suite software antivirus di Symantec che potrebbe mettere a rischio di attacco worm milioni di utenti. I ricercatori di eEye Digital Security, l'azienda che scoperto il nuovo problema di sicurezza, hanno dichiarato che le vulnerabilità può essere sfruttata da remoto per guadagnare controllo completo di una macchina attaccata "senza alcuna interazione da parte dell'utente". I prodotti affetti sono per il momento Symantec Antivirus 10.x e Symantec Client Security 3.x ma altri prodotti potrebbero comunque essere vulnerabili.

Mike Puterbaugh, portavoce di eEye Digital Security, commenta: "Questa [falla] è definitivamente 'wormable'. Una volta attaccata offre una command shell con accesso completo alla macchina. Si può rimuovere, editare e distruggere file a piacimento … Abbiamo potuto confermare che un attacker è in grado di eseguire codice arbitrario senza che l'utente debba cliccare o aprire alcunché".

eEye ha pubblicato un sintetico advisory per avvertire della scoperta del bug, in cui si evidenzia la possibilità di eseguire codice nocivo con accesso a livello di sistema. La vulnerabilità è classificata come ad "alto rischio" a causa dei potenziale seri danni derivanti.

Symantec ha confermato da parte sua di aver ricevuto la segnalazione di eEye e di star investigando sul problema di sicurezza. Un portavoce dell'azienda Commenta: "Il team per la product security è stato avvertito del problema in Symantec AntiVirus 10.x. Stiamo valutando il bug in questo momento e se necessario forniremo immediata risposta e soluzione".

Il software antivirus di Symantec è installato su più di 200 milioni di sistemi nei mercati enterprise e consumer, e la minaccia di un attacco da parte di un network worm che sfrutti la falla è reale. eEye tuttavia afferma che attualmente non sono stati isolati codici exploit proof-of-concept o atri tipi di informazioni che suggeriscono che un attacco possa essere imminente. Puterbaugh afferma: "non possiamo garantire che nessun altro abbia scoperto la falla e che non la stia attualmente usando per attività criminali … c'è la possibilità che non siamo stati gli unici a scoprire la falla. Chi sa se sta venendo già sfruttata per attacchi mirati di cui non verremo mai a conoscenza".

Gli esperti di Internet security hanno avvertito da tempo che le falle nei prodotti antivirus diventeranno il bersaglio grosso dei cybercriminali. Durante gli ultimi 18 mesi, grandi nomi del panorama antivirus hanno dovuto rilasciare aggiornamenti per correggere vari buchi di sicurezza nei loro prodotti. Questo ha suscitato le speculazioni degli osservatori secondo le quali si tratterebbe solamente di una questione di tempo prima che i cybercriminali trovino le motivazioni per creare un network worm devastante che sfrutti questo tipo di falle come vettore di attacco. Johannes Ullrich, chief technology officer del SANS ISC (Internet Storm Center), aveva dichiarato in una recente intervista: "La grande sorpresa è che non abbiamo ancora visto un attacco del genere".

A Marzo 2004 il worm Witty aveva attaccato una falla zero-day nei prodotto di sicurezza di Internet Security Systems. Al contrario della maggior parte di worm self-propagating, Witty era capace di corrompere i dischi rigidi delle macchine infette, impedendo il funzionamento normale del PC e causando crash di sistema. Puterbaugh avverte: "Potrebbe essere la volta di un Witty per Symantec".

Ironicamente l'applicazione vulnerabile Symantec 10.x promette rilevamento in real-time di intrusioni spyware, adware, virus e simili. Il prodotto viene usato da numerose grandi aziende e agenzie governative US.

---