Výzkumníci v oblasti bezpečnosti zjistili, že útočníci mohou pomocí nástroje Microsoft Application Verifier převzít různé antivirové produkty. Izraelská bezpečnostní firma Cybellum tvrdí, že nová metoda útoku označovaná jako DoubleAgent využívá nástroje Windows vytvořené k prevenci virových útoků - včetně McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, a ESET - a nechte je, aby fungovaly jako malware.

Cybellum říká, že útok DoubleAgent dokáže ohrozit i další antivirové produkty. Metoda pracuje manipulací s Microsoft Application Verifier, runtime verifikačním systémem, který funguje pro detekci chyb a zvýšení bezpečnosti programů třetích stran Windows. Tento nástroj je součástí systému Windows XP až Windows 10.

Jak DoubleAgent funguje

Cybellum vysvětlil, jak funguje DoubleAgent:

Naši vědci objevili nezdokumentovanou schopnost Application Verifier, která dává útočníkovi možnost nahradit standardní verifikátor jeho vlastním ověřovatelem. Útočník může tuto schopnost využít k tomu, aby do vlastní aplikace vložil vlastní ověřovatel. Po vložení vlastního ověřovatele má nyní útočník úplnou kontrolu nad aplikací. Aplikační ověřovatel byl vytvořen s cílem posílit zabezpečení aplikací zjišťováním a opravováním chyb a ironicky DoubleAgent tuto funkci používá k provádění škodlivých operací.

Problém nespočívá ve Windows, ale spíše u dodavatelů zabezpečení, kteří nabízejí antivirové produkty. Cybellum tvrdí, že DoubleAgent lze použít k útoku na organizace, které používají citlivé antivirové programy. Malwarebytes, AVG a Trend Micro jsou někteří z dodavatelů, kteří problém vyřešili pro své příslušné produkty. Program Windows Defender se jeví jako jediný antivirový produkt, který je vůči společnosti DoubleAgent imunní kvůli použití mechanismu Windows zvaného Chráněné procesy. Tento mechanismus zajišťuje služby proti malwaru, které běží v uživatelském režimu.

Zmírnění

Společnost Microsoft nabízí chráněné procesy jako způsob, jak povolit důvěryhodné podepsané načtení kódu. Útočníci proto nemohou použít DoubleAgent proti antiviru, i když útočník najde jako svůj kód novou techniku ​​nulového dne. Na GitHubu, s laskavým svolením společnosti Cybellum, je nyní k dispozici kód útoku na koncept.