Un esperto di sicurezza di Google ha scoperto alcune gravi vulnerabilità all’interno di prodotti consumer ed enterprise di Symantec che potrebbero essere facilmente sfruttate dagli hacker per prendere il controllo dei PC infetti. Symantec ha già rilasciato diverse patch per i prodotti colpiti, ma se la maggior parte di essi è stata aggiornata automaticamente, in alcuni casi (soprattutto con tool di stampo professionale) potrebbe essere necessario un intervento manuale.

Le vulnerabilità sono state scoperte da Tavis Ormandy, un ricercatore esperto di sicurezza del team Project Zero di Google che ha riscontrato problemi simili anche in altri produttori di antivirus. Ciò sottolinea lo stato tutt’altro che impeccabile in cui versa il settore degli antivirus, cosa che tra l’altro è già stata fatta notare a più riprese dagli esperti di sicurezza come Ormandy. Se siete alla ricerca di alternative, abbiamo messo a confronto i 10 migliori antivirus aziendali del 2016.

In questo caso, installare un antivirus è risultato più pericoloso che non averlo, perché permette di eseguire codice malevolo senza alcun intervento dell’utente

La maggior parte delle vulnerabilità scoperte risiede nel componente Decomposer dell’engine dell’antivirus di Symantec, che oltre ad avere accesso all’account più privilegiato di Windows gestisce diversi formati di file, tra cui i diffusissimi RAR e ZIP. Gli esperti hanno da tempo criticato i produttori di antivirus per operazioni rischiose come il parsing dei file utilizzando privilegi elevati non necessari.

Ormandy ha scoperto vulnerabilità nel codice di Symantec che si occupa di gestire file ZIP, RAR, LZH, LHA, CAB, MIME, TNEF e PPT; vulnerabilità che possono portare all’esecuzione del codice da remoto ed essere addirittura utilizzate per creare dei worm. La cosa ancor più preoccupante è che basta inviare un file alla vittima tramite email perché questo sfrutti la vulnerabilità, senza che il destinatario del messaggio debba per forza aprire il file. Tra l’altro Symantec pare abbia utilizzato codice di librerie open source, non importando però nel corso degli anni tutte le patch di sicurezza rilasciate per quelle librerie.

Nel 2016 sono state scoperte 222 vulnerabilità in software di sicurezza

Ormandy per esempio ha scoperto che i prodotti di Symantec colpiti da queste vulnerabilità stavano utilizzando la versione 4.1.4 di un pacchetto open-source rilasciato nel gennaio del 2012. La versione più recente è invece la 5.3.11 e una situazione simile è stata riscontrata anche per un’altra libreria chiamata libmspack.

Il fatto di non tenere traccia delle vulnerabilità patchate di codice di terze parti utilizzato dai produttori di software per i loro progetti è purtroppo un fenomeno diffuso. E ciò nonostante ci si aspetti da software house specializzate in sicurezza tutt’altro comportamento, visto che sono proprio questi produttori che predicano agli altri la gestione delle vulnerabilità e la massima attenzione agli aggiornamenti.

Non bisogna perciò stupirsi che secondo i dati di Risk Based Security siano state scoperte nel 2016 222 vulnerabilità in software di sicurezza, ovvero il 3,4% di tutte le vulnerabilità di cui si ha notizia dall’inizio dell’anno a oggi. Può non sembrare un numero elevato, ma come fa notare Carsten Eiram di RBS si tratta invece di una cifra che dovrebbe far riflettere sullo stato delle cose.

Nel frattempo Symantec ha pubblicato la lista dei prodotti interessati da queste vulnerabilità, fornendo anche istruzioni su come aggiornali. Tutti i prodotti Norton (il brand consumer di Symantec) dovrebbero invece essere stati aggiornati automaticamente.