Turvallisuustutkijat ovat havainneet, että hyökkääjät voivat käyttää Microsoftin Application Verifier -työkalua hallitakseen erilaisia ​​virustorjuntatuotteita. Israelissa toimiva tietoturvayritys Cybellum väittää, että uudessa DoubleAgent-nimeltään hyökkäysmenetelmässä hyödynnetään Windows-työkaluja, jotka on luotu estämään virushyökkäyksiä - mukaan lukien McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, ja ESET - ja aseta ne toimimaan haittaohjelmina.

Cybellumin mukaan DoubleAgent-hyökkäys voi vaarantaa myös muut virustorjuntatuotteet. Menetelmä toimii manipuloimalla Microsoft Application Verifier -ohjelmaa, suorituksen tarkistusjärjestelmää, joka havaitsee virheet ja lisää kolmansien osapuolien Windows-ohjelmien turvallisuutta. Työkalu sisältyy Windows XP: ään Windows 10: ään.

Kuinka DoubleAgent toimii

Cybellum selitti DoubleAgentin toimintaa:

Tutkijamme löysivät dokumentoimattoman Application Verifier -ominaisuuden, joka antaa hyökkääjälle mahdollisuuden korvata vakiovarmentaja omalla mukautetulla todentajalla. Hyökkääjä voi käyttää tätä kykyä injektoida mukautetun todentajan mihin tahansa sovellukseen. Kun mukautettu varmentaja on injektoitu, hyökkääjällä on nyt täysi määräysvalta sovelluksessa. Sovelluksen todentaja luotiin sovellusten tietoturvan parantamiseksi etsimällä ja korjaamalla virheitä. Ironista kyllä ​​DoubleAgent käyttää tätä ominaisuutta haitallisten toimintojen suorittamiseen.

Ongelma ei ole Windowsissa, vaan pikemminkin tietoturvatoimittajissa, jotka tarjoavat virustorjuntatuotteita. Cybellum väittää, että DoubleAgentia voidaan käyttää hyökkäämään organisaatioihin, jotka käyttävät herkkiä virustorjuntaohjelmia. Malwarebytes, AVG ja Trend Micro ovat joitakin myyjiä, jotka korjasivat ongelman tuotteilleen. Windows Defender näyttää olevan ainoa virustentorjuntatuote, joka on immuuni DoubleAgentille, koska se käyttää Windows-mekanismia nimeltä Protected Processes. Mekanismi turvaa haittaohjelmien torjuntapalvelut, jotka toimivat käyttäjän tilassa.

lieventäminen

Microsoft tarjoaa suojatut prosessit tapana sallia luotetun, allekirjoitetun koodin lataaminen. Siksi hyökkääjät eivät voi käyttää DoubleAgentia virustorjuntaa vastaan, vaikka hyökkääjä löytäisi koodiksi uuden nollapäiväisen tekniikan. Konseptikonseptin hyökkäyskoodi on nyt saatavana GitHubilla, Cybellumin suosituksella.