Οι ερευνητές της ασφάλειας έχουν διαπιστώσει ότι οι εισβολείς μπορούν να χρησιμοποιήσουν το εργαλείο επαλήθευσης εφαρμογών της Microsoft για να αναλάβουν διάφορα προϊόντα προστασίας από ιούς. Η εταιρεία ασφάλειας Cybellum, που εδρεύει στο Ισραήλ, ισχυρίζεται ότι μια νέα μέθοδος επίθεσης, dubbed DoubleAgent, εκμεταλλεύεται τα εργαλεία των Windows που δημιουργήθηκαν για να αποτρέψουν τις επιθέσεις από ιούς - συμπεριλαμβανομένων των McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo., και το ESET - και να λειτουργούν ως κακόβουλα προγράμματα.

Το Cybellum αναφέρει ότι η επίθεση του DoubleAgent είναι επίσης ικανή να θέσει σε κίνδυνο άλλα προϊόντα προστασίας από ιούς. Η μέθοδος λειτουργεί χειριζόμενος τον Microsoft Verifier Application, ένα σύστημα επαλήθευσης χρόνου εκτέλεσης που λειτουργεί για την ανίχνευση σφαλμάτων και την ενίσχυση της ασφάλειας των προγραμμάτων των Windows άλλων κατασκευαστών. Το εργαλείο περιλαμβάνεται στα Windows XP έως τα Windows 10.

Πώς λειτουργεί το DoubleAgent

Το Cybellum εξήγησε τον τρόπο με τον οποίο λειτουργεί το DoubleAgent:

Οι ερευνητές μας ανακάλυψαν μια μη τεκμηριωμένη ικανότητα του Ελεγκτή Εφαρμογών (Application Verifier), που δίνει σε έναν εισβολέα τη δυνατότητα να αντικαταστήσει τον πρότυπο επαληθευτή με τον δικό του προσαρμοσμένο επαληθευτή. Ένας εισβολέας μπορεί να χρησιμοποιήσει αυτήν την ικανότητα για την έγχυση ενός προσαρμοσμένου επαληθευτή σε οποιαδήποτε εφαρμογή. Μόλις γίνει η έγχυση του προσαρμοσμένου επαληθευτή, ο επιτιθέμενος έχει τώρα πλήρη έλεγχο της εφαρμογής. Ο Ελεγκτής Εφαρμογών δημιουργήθηκε για να ενισχύσει την ασφάλεια των εφαρμογών ανακτώντας και διορθώνοντας τα σφάλματα και ειρωνικά το DoubleAgent χρησιμοποιεί αυτή τη λειτουργία για την εκτέλεση κακόβουλων ενεργειών.

Το πρόβλημα δεν βρίσκεται μέσα στα Windows, αλλά στους προμηθευτές ασφαλείας που προσφέρουν τα προϊόντα προστασίας από ιούς. Cybellum ισχυρίζεται ότι το DoubleAgent μπορεί να χρησιμοποιηθεί για να επιτεθεί σε οργανισμούς που χρησιμοποιούν τα ευάλωτα προγράμματα προστασίας από ιούς. Τα προγράμματα Malwarebytes, AVG και Trend Micro είναι μερικοί από τους προμηθευτές που ρύθμισαν το πρόβλημα για τα αντίστοιχα προϊόντα τους. Το Windows Defender φαίνεται να είναι το μοναδικό προϊόν εντοπισμού ιών που είναι ανοσοποιητικό για το DoubleAgent λόγω της χρήσης ενός μηχανισμού των Windows που ονομάζεται Protected Processes. Ο μηχανισμός εξασφαλίζει υπηρεσίες κατά του κακόβουλου λογισμικού που εκτελούνται σε λειτουργία χρήστη.

Μείωση

Η Microsoft προσφέρει τις προστατευμένες διεργασίες ως τρόπο που επιτρέπει την εμπιστοσύνη, την υπογραφή κώδικα φόρτωσης. Επομένως, οι εισβολείς δεν μπορούν να χρησιμοποιήσουν το DoubleAgent ενάντια στο antivirus, ακόμη και αν ο εισβολέας βρει μια νέα τεχνική μηδενικής ημέρας ως τον κώδικα του. Ένας κώδικας απόδειξης απόδειξης είναι τώρα διαθέσιμος στο GitHub, με την ευγένεια του Cybellum.