Poslední zaznamenaný případ takovýchto praktik zahrnuje funkci „obnovení z karantény“ a byl objeven v různých antivirových řešeních.
Zranitelnost objevil rakouský bezpečnostní auditor Florian Bogner, který ji pojmenoval AVGater. Funguje víceméně tak, že přesune malware z karantény antiviru do citlivého umístění v rámci systému oběti.
Bogner, který pracuje pro firmu Kapsch, podle svých slov o zranitelnosti informoval všechny výrobce antivirů, kterých se problém týká. Některé z těchto společností oznámily, že již na problém vydaly záplatu. Patří k nim Emisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro a ZoneAlarm.
Při testování průniků u klienta infikoval Bogner PC klienta klasickou e-mailovou phishingovou technikou. Malware následně dostal do karantény antivirového programu a poté zneužil zranitelnosti v softwaru, umožňující uživatelům s nedostatečnými oprávněními obnovit soubory z karantény. Poté se mu soubor podařilo přesunout do složky dle vlastního výběru. Následným zneužitím dalších prvků systému zvládl spuštění malwaru s plnými oprávněními.
Nejdůležitějším omezením AVGateru je fakt, že útočník musí mít fyzický přístup ke konkrétnímu stroji, což je však ve sdílených počítačových prostředích stále problém.
Zdroj: Techspot.com