Drošības pētnieki ir noskaidrojuši, ka uzbrucēji var izmantot Microsoft rīku Application Verifier, lai pārņemtu dažādus pretvīrusu produktus. Izraēlā bāzēta drošības firma Cybellum apgalvo, ka jaunā uzbrukuma metode, kas dublēta DoubleAgent, izmanto Windows rīkus, kas izveidoti vīrusu uzbrukumu novēršanai - ieskaitot McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo un ESET - un liek viņiem darboties kā ļaunprātīgai programmatūrai.

Cybellum saka, ka DoubleAgent uzbrukums spēj apdraudēt arī citus pretvīrusu produktus. Metode darbojas, manipulējot ar Microsoft Application Verifier - izpildlaika verifikācijas sistēmu, kas darbojas, lai noteiktu kļūdas un palielinātu trešo personu Windows programmu drošību. Šis rīks ir iekļauts operētājsistēmā Windows XP līdz operētājsistēmai Windows 10.

Kā darbojas DoubleAgent

Cybellum izskaidroja DoubleAgent darbību:

Mūsu pētnieki atklāja lietojumprogrammu verificētāja nedokumentētu spēju, kas uzbrucējam dod iespēju aizstāt standarta verificētāju ar savu pielāgoto verificētāju. Uzbrucējs var izmantot šo iespēju, lai ievadītu pielāgotu verificētāju jebkurā lietojumprogrammā. Kad pielāgotais verificētājs ir ievadīts, uzbrucējs tagad pilnībā kontrolē lietojumprogrammu. Lietojumprogrammu verificētājs tika izveidots, lai stiprinātu lietojumprogrammu drošību, atklājot un labojot kļūdas, un ironiski, ka DoubleAgent izmanto šo funkciju, lai veiktu ļaunprātīgas darbības.

Problēma neattiecas uz Windows, bet gan uz drošības pārdevējiem, kas piedāvā pretvīrusu produktus. Cybellum apgalvo, ka DoubleAgent var izmantot, lai uzbruktu organizācijām, kuras izmanto jutīgās pretvīrusu programmas. Malwarebytes, AVG un Trend Micro ir daži no pārdevējiem, kas novērsa problēmu saviem attiecīgajiem produktiem. Liekas, ka Windows Defender ir vienīgais pretvīrusu produkts, kas nav imūns pret DoubleAgent, jo tajā tiek izmantots Windows mehānisms, ko sauc par aizsargātajiem procesiem. Mehānisms nodrošina anti-ļaundabīgo programmu pakalpojumus, kas darbojas lietotāja režīmā.

Mazināšana

Microsoft piedāvā aizsargātos procesus kā veidu, kā atļaut ielādēt uzticamu, parakstītu kodu. Tāpēc uzbrucēji nevar izmantot DoubleAgent pret pretvīrusu, pat ja uzbrucējs kā jaunu kodu atrod jaunu nulles dienas paņēmienu. Koncepcijas pierādījuma uzbrukuma kods tagad ir pieejams vietnē GitHub, ar Cybellum atbalstu.