Varnostni raziskovalci so ugotovili, da lahko napadalci z Microsoftovim orodjem za preverjanje aplikacij prevzamejo različne protivirusne izdelke. Izraelsko varnostno podjetje Cybellum trdi, da nova metoda napada, imenovana DoubleAgent, izkorišča orodja Windows, ki so bila ustvarjena za preprečevanje virusnih napadov - vključno z McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, in ESET - in naj bodo delujejo kot zlonamerna programska oprema.

Cybellum pravi, da napad DoubleAgent lahko ogrozi tudi druge protivirusne izdelke. Metoda deluje z manipulacijo Microsoftove aplikacije za preverjanje aplikacij, sistema za preverjanje izvajanja, ki deluje za odkrivanje napak in povečanje varnosti zunanjih programov Windows. Orodje je vključeno v sistem Windows XP do Windows 10.

Kako deluje DoubleAgent

Cybellum je pojasnil način, kako deluje DoubleAgent:

Naši raziskovalci so odkrili nedokumentirano sposobnost Application Verifier, ki napadalcu omogoča, da standardnega preveritelja nadomesti z lastnim preveriteljem po meri. Napadalec lahko to sposobnost uporabi, da v katero koli aplikacijo vbrizga preveritelja po meri. Ko je bil vbrizgan verifikator po meri, napadalec zdaj ima popoln nadzor nad aplikacijo. Aplikacija Verifier je bila ustvarjena z namenom okrepiti varnost aplikacij z odkrivanjem in odpravljanjem napak, ironično pa DoubleAgent to funkcijo uporablja za izvajanje zlonamernih operacij.

Težava ni v operacijskem sistemu Windows, temveč v prodajalcih varnosti, ki ponujajo protivirusne izdelke. Cybellum trdi, da DoubleAgent lahko uporabite za napadanje organizacij, ki uporabljajo dovzetne protivirusne programe. Malwarebytes, AVG in Trend Micro so nekateri od ponudnikov, ki so odpravili težavo za svoje izdelke. Zdi se, da je Windows Defender edini protivirusni izdelek, ki je zaščiten proti DoubleAgentu zaradi svoje uporabe mehanizma Windows, imenovanega Zaščiteni procesi. Mehanizem zavaruje storitve proti zlonamerni programski opremi, ki se izvajajo v uporabniškem načinu.

Zmanjševanje

Microsoft ponuja zaščitenim procesom način, kako omogočiti nalaganje zaupanja vredne podpisane kode. Zato napadalci ne morejo uporabljati DoubleAgent proti antivirusu, tudi če napadalec najde novo tehniko brez dneva kot svojo kodo. Na GitHub-u je z dovoljenjem Cybellum na voljo preizkusna koda napada.