Doubleagent fa que el teu antivirus de Windows actuï com a programari maliciós

Taula de continguts:

Vídeo: Windows Defender VS Memz Virus( The Intense Battle) | Virus Vs Antivirus EP-01 2024

Vídeo: Windows Defender VS Memz Virus( The Intense Battle) | Virus Vs Antivirus EP-01 2024
Anonim

Els investigadors de seguretat han trobat que els atacants poden utilitzar l'eina de verificació d'aplicacions de Microsoft per fer-se càrrec de diversos productes antivirus. La firma de seguretat israeliana Cybellum afirma que un nou mètode d’atac anomenat DoubleAgent s’aprofita de les eines de Windows creades per evitar atacs de virus, inclosos McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo i ESET: i fan que actuïn com a programari maliciós.

Cybellum diu que l’atac de DoubleAgent també és capaç de comprometre altres productes antivirus. El mètode funciona manipulant el Microsoft Application Verifier, un sistema de verificació en temps d'execució que funciona per detectar errors i augmentar la seguretat de programes Windows de tercers. L'eina s'inclou a Windows XP des de Windows 10.

Com funciona DoubleAgent

Cybellum va explicar el funcionament de DoubleAgent:

Els nostres investigadors van descobrir una capacitat indocumentada de Application Verifier que proporciona a l'atacant la possibilitat de substituir el verificador estàndard amb el seu propi verificador personalitzat. Un atacant pot utilitzar aquesta habilitat per injectar un verificador personalitzat en qualsevol aplicació. Un cop injectat el verificador personalitzat, l’atacant té ara un control total sobre l’aplicació. Application Verifier es va crear per tal de reforçar la seguretat de l'aplicació descobrint i corregint errors, i irònicament DoubleAgent utilitza aquesta funció per realitzar operacions malicioses.

El problema no es troba en Windows, sinó en els proveïdors de seguretat que ofereixen els productes antivirus. Les declaracions de Cybellum DoubleAgent es poden utilitzar per atacar organitzacions que utilitzen programes antivirus susceptibles. Malwarebytes, AVG i Trend Micro són alguns dels proveïdors que van solucionar el problema per als seus respectius productes. Windows Defender sembla ser l’únic producte antivirus que és immune a DoubleAgent per l’ús d’un mecanisme Windows anomenat Processos Protegits. El mecanisme assegura serveis anti-malware que funcionen en mode d'usuari.

Mitigació

Microsoft ofereix processos protegits com una manera de permetre la càrrega de codi signada de confiança. Per tant, els atacants no poden utilitzar DoubleAgent contra els antivirus, fins i tot si un atacant troba com a codi una nova tècnica de dia zero. Ja hi ha disponible un codi d’atac de prova de concepte a GitHub, cortesia de Cybellum.

Doubleagent fa que el teu antivirus de Windows actuï com a programari maliciós