A vírusirtót is kettős ügynökké változtatja a DoubleAgent

A Cybellum biztonsági cég közzétette a PoC fájlokat is, gyakorlatilag minden védelmi szoftver vagy más alkalmazás trójai falóvá változhat.

A Cybellum biztonsági cég kutatói olyan sebezhetőséget találtak, amivel a Windows hibajavító eszköze kártevővé változtatja a telepített vírusirtót. A megoldást DoubleAgentnek nevezték el, utalva arra, hogy egy védelmi eszközből lesz kettős ügynök a folyamat során.

A szakemberek szerint az Avast, az AVG, az Avira, a Bitdefender, a Trend Micro, a Comodo, az ESET, az F-Secure, a Kaspersky, a Malwarebytes, a McAfee, a Panda, a Quick Heal, illetve a Norton szoftvereit is érinti a probléma. Egyúttal azt állítják, más antivírus termékek is sebezhetőek lehetnek.

A támadás a Microsoft Application Verifiert használja, ez az az eszköz, ami a Windows XP-től a Windows 10-ig bezárólag felel a hibák felfedezéséért és a biztonság fokozásáért a haramdik féltől származó alkalmazások használata során.

A Cybellum munkatársai azt írják, olyan, eddig nem dokumentált jogosultságot találtak az Application Verifierben, amivel a támadó lecserélheti a validáló alkalmazást a sajátjára. Ha a kód bekerül egy szoftverbe, onnantól kezdve a támadónak teljes felügyelete lehet a program felett.

Bár a kutatók az antivírus szoftverekre koncentráltak, a DoubleAgent más programok ellen is bevethető. Mivel a kártékony kód bármilyen folyamatba injektálható (dinamyc link library), túléli az újraindítást, sőt a törlést és újratelepítést is.

A támadás ellen egyedül a Windows Defender védett, mivel ennek védett folyamatai vannak, amibe az Application Verifier sem tud belepiszkálni. A Cybellum publikálta a proof-of-concept fájlokat a GitHubon, illetve közzétett egy videót is (fent), amin látszik a sikeres támadás.

Azóta történt

Előzmények