Doubleagent fa que el teu antivirus de Windows actuï com a programari maliciós
Taula de continguts:
Vídeo: Windows Defender VS Memz Virus( The Intense Battle) | Virus Vs Antivirus EP-01 2024
Els investigadors de seguretat han trobat que els atacants poden utilitzar l'eina de verificació d'aplicacions de Microsoft per fer-se càrrec de diversos productes antivirus. La firma de seguretat israeliana Cybellum afirma que un nou mètode d’atac anomenat DoubleAgent s’aprofita de les eines de Windows creades per evitar atacs de virus, inclosos McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo i ESET: i fan que actuïn com a programari maliciós.
Cybellum diu que l’atac de DoubleAgent també és capaç de comprometre altres productes antivirus. El mètode funciona manipulant el Microsoft Application Verifier, un sistema de verificació en temps d'execució que funciona per detectar errors i augmentar la seguretat de programes Windows de tercers. L'eina s'inclou a Windows XP des de Windows 10.
Com funciona DoubleAgent
Cybellum va explicar el funcionament de DoubleAgent:
Els nostres investigadors van descobrir una capacitat indocumentada de Application Verifier que proporciona a l'atacant la possibilitat de substituir el verificador estàndard amb el seu propi verificador personalitzat. Un atacant pot utilitzar aquesta habilitat per injectar un verificador personalitzat en qualsevol aplicació. Un cop injectat el verificador personalitzat, l’atacant té ara un control total sobre l’aplicació. Application Verifier es va crear per tal de reforçar la seguretat de l'aplicació descobrint i corregint errors, i irònicament DoubleAgent utilitza aquesta funció per realitzar operacions malicioses.
El problema no es troba en Windows, sinó en els proveïdors de seguretat que ofereixen els productes antivirus. Les declaracions de Cybellum DoubleAgent es poden utilitzar per atacar organitzacions que utilitzen programes antivirus susceptibles. Malwarebytes, AVG i Trend Micro són alguns dels proveïdors que van solucionar el problema per als seus respectius productes. Windows Defender sembla ser l’únic producte antivirus que és immune a DoubleAgent per l’ús d’un mecanisme Windows anomenat Processos Protegits. El mecanisme assegura serveis anti-malware que funcionen en mode d'usuari.
Mitigació
Microsoft ofereix processos protegits com una manera de permetre la càrrega de codi signada de confiança. Per tant, els atacants no poden utilitzar DoubleAgent contra els antivirus, fins i tot si un atacant troba com a codi una nova tècnica de dia zero. Ja hi ha disponible un codi d’atac de prova de concepte a GitHub, cortesia de Cybellum.
3 Antivirus cibercenari dilluns per prevenir programari maliciós i virus
Cyber Monday us ofereix moltes ofertes de programari antivirus interessants. Llegiu aquesta guia per saber quins són tres dels millors antivirus per instal·lar ara mateix.
Finestres obsoletes i, per tant, les versions que encara fan servir moltes empreses, fent que els atacs de programari maliciós siguin imminents
En un article recent, us informàvem que el dinosaure de Windows XP està viu i xutant, ja que és gestionat per gairebé un 11% dels ordinadors del món. El mateix és vàlid per al seu germà, Internet Explorer. Pitjor encara, segons un recent estudi de Duo Security, el 25% de les empreses utilitzen versions IE obsoletes, exposant-se a importants amenaces de programari maliciós. Duo ...
No hi ha cap pegat per a l’error del nucli de Windows que permet que el programari maliciós eviti la detecció d’antivirus
Microsoft no publicarà una actualització de seguretat malgrat que una empresa d’investigació en ciberseguretat afirma que va descobrir un error a l’API PsSetLoadImageNotifyRoutine que els desenvolupadors de programari maliciós maliciós podrien utilitzar per evadir la detecció per part de programari anti-malware de tercers. L’empresa de programari no creu que l’esmentat error suposi cap risc de seguretat. Un investigador en seguretat d'EnSilo, Omri Misgav, va descobrir ...
