Recentemente, durante la conferenza Black Hat Asia a Singapore, esperti di sicurezza informatica hanno evidenziato gravi falle in Microsoft Defender e Kaspersky. Queste falle potrebbero consentire la cancellazione remota di file, anche dopo le presunte correzioni dei fornitori.
In particolare Microsoft Defender e Kaspersky Endpoint Detection and Response (EDR) possono essere indotti a rilevare falsi positivi di file maligni e quindi eliminarli. Un attaccante potrebbe sfruttare questo comportamento per cancellare file importanti, e poi magari chiedere un riscatto per consegnare una copia fatta in precedenza.
I ricercatori hanno scoperto che inserendo firme associate a malware in file legittimi, è possibile ingannare i sistemi EDR, portandoli a ritenere che tali file siano dannosi e a cancellarli. Una soluzione relativamente semplice, e in effetti Microsoft ha già pubblicato delle correzioni (CVE-2023-24860 e CVE-2023-3601) ma sembra che non siano del tutto efficaci.
Il problema mette in luce ciò che tutti i responsabili dovrebbero già sapere: oltre ai software di sicurezza bisogna dotarsi di una buona - se non eccellente - strategia di backup. Questo strumento, infatti, può metterci al riparo anche da cancellazioni accidentali - o mirate - come quelle in oggetto.
C’è poi la riflessione sulla sicurezza informatica e l'efficacia delle patch nel mitigare rischi reali di perdita di dati e vulnerabilità nei sistemi operativi. La collaborazione tra ricercatori e aziende è essenziale per identificare e risolvere tali problemi, garantendo una maggiore sicurezza nell'ecosistema digitale.