Satnam Narang, Principal Research Engineer chez Tenable propose l’analyse suivante :

« Pour transformer les failles de type "simlink race" présentes dans 28 produits antivirus populaires en menaces actives, les cybercriminels doivent d’abord établir une présence locale sur le système de la victime ou inclure le code malveillant dans les malwares afin de créer une jonction d’annuaire (Windows) ou un lien symbolique (macOS / Linux). Ce code peut être utilisé pour supprimer des fichiers système importants, y compris ceux associés au système d’exploitation ou au logiciel antivirus lui-même. Cela conduirait alors à la mise hors d’usage de l’appareil ou à la désactivation du produit antivirus.

Le timing est essentiel afin de pouvoir exploiter avec succès ces vulnérabilités, ces dernières reposant sur une condition de concurrence. Cependant, les chercheurs ont constaté que dans certains cas le timing n’avait pas d’importance ; en effet, si le code malveillant continue de se répéter, il finira par aboutir à une exploitation réussie.

Bien que la plupart des fournisseurs aient travaillé activement à la résolution de ce problème particulier dans leurs produits, les logiciels antivirus continueront malheureusement d’être une cible de choix pour les cybercriminels, car ceux-ci fonctionnement avec les privilèges les plus élevés sur le système d’exploitation. »