Badacze bezpieczeństwa odkryli, że osoby atakujące mogą użyć narzędzia Microsoft Application Verifier do przejęcia różnych produktów antywirusowych. Izraelska firma bezpieczeństwa Cybellum twierdzi, że nowa metoda ataku o nazwie DoubleAgent wykorzystuje narzędzia Windows stworzone do zapobiegania atakom wirusów - w tym McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo i ESET - i niech działają jako złośliwe oprogramowanie.

Cybellum twierdzi, że atak DoubleAgent może również zagrozić innym produktom antywirusowym. Metoda polega na manipulowaniu Microsoft Application Verifier, systemem weryfikacji środowiska wykonawczego, który działa w celu wykrywania błędów i zwiększania bezpieczeństwa programów Windows innych firm. Narzędzie jest zawarte w systemie Windows XP do Windows 10.

Jak działa DoubleAgent

Cybellum wyjaśnił sposób działania DoubleAgent:

Nasi badacze odkryli nieudokumentowaną zdolność weryfikatora aplikacji, która daje atakującemu możliwość zastąpienia standardowego weryfikatora własnym, niestandardowym weryfikatorem. Atakujący może użyć tej zdolności, aby wstrzyknąć niestandardowego weryfikatora do dowolnej aplikacji. Po wstrzyknięciu niestandardowego weryfikatora osoba atakująca ma teraz pełną kontrolę nad aplikacją. Weryfikator aplikacji został stworzony w celu zwiększenia bezpieczeństwa aplikacji poprzez wykrywanie i naprawianie błędów, a jak na ironię DoubleAgent używa tej funkcji do przeprowadzania złośliwych operacji.

Problem nie dotyczy systemu Windows, ale raczej dostawców zabezpieczeń oferujących produkty antywirusowe. Cybellum twierdzi, że DoubleAgent może być wykorzystywany do atakowania organizacji korzystających z podatnych programów antywirusowych. Malwarebytes, AVG i Trend Micro to niektórzy dostawcy, którzy naprawili problem z ich odpowiednimi produktami. Windows Defender wydaje się być jedynym produktem antywirusowym odpornym na DoubleAgent ze względu na użycie mechanizmu Windows o nazwie Procesy chronione. Mechanizm zabezpiecza usługi anty-malware działające w trybie użytkownika.

Łagodzenie

Microsoft oferuje Procesy chronione jako sposób na umożliwienie ładowania zaufanego, podpisanego kodu. Dlatego osoby atakujące nie mogą używać DoubleAgent przeciwko programowi antywirusowemu, nawet jeśli atakujący znajdzie nową technikę zero-day jako swój kod. Kod ataku typu proof-of-concept jest teraz dostępny na GitHub, dzięki uprzejmości Cybellum.