Um pesquisador de segurança australiano descobriu o exploit AVGater, que usa o recurso “quarentena” dos antivírus para infectar PCs com malware.

De acordo com o pesquisador Florian Bogner, o exploit se aproveita da função utilizada para restaurar arquivos em quarentena, que está presente na grande maioria dos softwares antivírus.

O conceito por trás do exploit AVGater é relativamente simples. Ele permite que um malware seja movido da quarentena e executado em outro local do sistema operacional.

Bogner publicou o vídeo abaixo explicando como o exploit funciona.

Vídeo mostrando como o exploit AVGater funciona:

Em circunstâncias normais, a função para restaurar um arquivo em quarentena não permite que um usuário sem privilégios administrativos mova arquivos para as pastas C:\Program Files ou C:\Windows, mas este ataque se aproveita das funcionalidades do sistema de arquivos NTFS para garantir ao usuário o acesso a essas pastas.

Embora isso apreça ser impressionante, uma falha ajuda a limitar o escopo do exploit AVGater. Para conseguir realizar o ataque com sucesso o hacker em questão precisa ter acesso físico ao computador que ele pretende infectar.

Computadores em ambientes corporativos podem ser os principais alvos deste tipo de ataque.

Novo exploit AVGater usa softwares antivírus para espalhar malware
Bogner já notificou as empresas desenvolvedoras de softwares antivírus sobre o exploit e muitas delas já aplicaram correções. Entre as empresas que já corrigiram seus softwares antivírus estão a Kaspersky, Malwarebytes, ZoneAlarm, Trend Micro e a Emsisoft.