Експертът по сигурността Florian Bogner е открил експлойт при Windows антивирусните програми, който кибер престъпниците могат да използват, за да разпространяват зловредни файлове, малуер, вируси и пр.
Експлойтът се нарича AVGator и се възползва от възможността, която антивирусните програми предоставят на потребителите за възстановяване на файлове, които са поставени в карантина.
По принцип потребителите могат да възстановят файловете в карантина, когато решат, по всяко едно време. В нормалните случаи обаче те нямат право да пишат в системни директории като C:Windows и C:Program Files без да имат администраторски права за тази цел.
Точно това променя AVGator, позволявайки на зложелателя да възстанови зловредните файлове в карантина в нова директория, възползвайки се от слабост в NTFS файловата система, така наречените „NTFS junction point“.
NTFS junction point представлява символичен линк към директория, която действа като алайъс на тази директория.
Използвайки NTFS junction point, зложелателят може да възстанови файловете в критични системни директории, дори и в гореспоменатите C:Windows и C:Program Files, което е особено опасно.
За успокоение на потребителите тук може да се спомене, че този експлойт е възможен само когато зложелателят има физически достъп до машината, така че те могат спокойно да продължат да използват антивирусния си продукт и няма нужда да го сменят.
Някои компании производителки на антивирусен софтуер като Malwarebytes, Trend Micro, Kaspersky, Zonealarm, Ikarus и Emsisoft вече са пуснали кръпка за уязвимостта.
