Beveiligingsonderzoekers hebben ontdekt dat aanvallers de Application Verifier-tool van Microsoft kunnen gebruiken om verschillende antivirusproducten over te nemen. Het in Israël gevestigde beveiligingsbedrijf Cybellum beweert dat een nieuwe aanvalsmethode genaamd DoubleAgent gebruikmaakt van Windows-tools die zijn gemaakt om virusaanvallen te voorkomen - waaronder McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo en ESET - en ze laten fungeren als malware.

Cybellum zegt dat de DoubleAgent-aanval ook andere antivirusproducten kan schaden. De methode werkt door het manipuleren van de Microsoft Application Verifier, een runtime-verificatiesysteem dat werkt om bugs te detecteren en de beveiliging van Windows-programma's van derden te verbeteren. De tool is opgenomen in Windows XP tot en met Windows 10.

Hoe DoubleAgent werkt

Cybellum legde de manier uit waarop DoubleAgent werkt:

Onze onderzoekers ontdekten een ongedocumenteerde vaardigheid van Application Verifier die een aanvaller de mogelijkheid biedt om de standaard verifier te vervangen door zijn eigen aangepaste verifier. Een aanvaller kan deze mogelijkheid gebruiken om een ​​aangepaste verificator in elke toepassing te injecteren. Nadat de aangepaste verificateur is geïnjecteerd, heeft de aanvaller nu volledige controle over de toepassing. Application Verifier is gemaakt om de beveiliging van applicaties te verbeteren door bugs te ontdekken en op te lossen, en ironisch genoeg gebruikt DoubleAgent deze functie om kwaadaardige bewerkingen uit te voeren.

Het probleem ligt niet bij Windows, maar bij de beveiligingsleveranciers die de antivirusproducten aanbieden. Cybellum claimt dat DoubleAgent kan worden gebruikt om organisaties aan te vallen die de gevoelige antivirusprogramma's gebruiken. Malwarebytes, AVG en Trend Micro zijn enkele van de leveranciers die het probleem voor hun respectieve producten hebben opgelost. Windows Defender lijkt het enige antivirusproduct te zijn dat immuun is voor DoubleAgent vanwege het gebruik van een Windows-mechanisme dat beschermde processen wordt genoemd. Het mechanisme beveiligt anti-malwareservices die in de gebruikersmodus worden uitgevoerd.

verzachting

Microsoft biedt beveiligde processen aan als een manier om vertrouwde, ondertekende codelading toe te staan. Daarom kunnen aanvallers DoubleAgent niet tegen de antivirus gebruiken, zelfs niet als een aanvaller een nieuwe zero-day techniek als zijn code vindt. Een proof-of-concept aanvalscode is nu beschikbaar op GitHub, met dank aan Cybellum.