Natuklasan ng mga mananaliksik ng seguridad na maaaring gamitin ng mga umaatake ang tool ng Application Verifier ng Microsoft upang kunin ang iba't ibang mga produktong antivirus. Ang security firm na nakabase sa Israel na si Cybellum ay nagsasabing ang isang bagong paraan ng pag-atake na tinawag na DoubleAgent ay nagsasamantala sa mga tool ng Windows na nilikha upang maiwasan ang mga pag-atake ng mga virus - kabilang ang McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, at ESET - at gawin silang kumilos bilang malware.

Sinabi ni Cybellum na ang pag-atake ng DoubleAgent ay may kakayahang ikompromiso ang iba pang mga produktong antivirus. Gumagana ang pamamaraan sa pamamagitan ng pagmamanipula ng Microsoft Application Verifier, isang sistema ng pag-verify ng runtime na gumagana upang makita ang mga bug at mapalakas ang seguridad ng mga programang third-party Windows. Ang tool ay kasama sa Windows XP hanggang sa Windows 10.

Paano gumagana ang DoubleAgent

Ipinaliwanag ni Cybellum kung paano gumagana ang DoubleAgent:

Natuklasan ng aming mga mananaliksik ang isang hindi naka-undos na kakayahan ng Application Verifier na nagbibigay ng isang mananalakay ng kakayahang palitan ang karaniwang verifier sa kanyang sariling pasadyang verifier. Maaaring gamitin ng isang umaatake ang kakayahang ito upang mag-iniksyon ng isang pasadyang verifier sa anumang aplikasyon. Kapag ang pasadyang verifier ay na-injected, ang attacker ngayon ay may ganap na kontrol sa application. Ang Application Verifier ay nilikha upang palakasin ang seguridad ng aplikasyon sa pamamagitan ng pagtuklas at pag-aayos ng mga bug, at ironically Ginagamit ng DoubleAgent ang tampok na ito upang maisagawa ang nakakahamak na operasyon.

Ang problema ay hindi namamalagi sa loob ng Windows ngunit sa halip sa mga nagtitinda ng seguridad na nag-aalok ng mga produktong antivirus. Inaangkin ng Cybellum ang DoubleAgent ay maaaring magamit upang atakehin ang mga organisasyon na gumagamit ng madaling kapitan na mga programang antivirus. Ang mga Malwarebytes, AVG, at Trend Micro ay ilan sa mga nagtitinda na naayos ang isyu para sa kani-kanilang mga produkto. Ang Windows Defender ay waring ang tanging produkto ng antivirus na immune sa DoubleAgent dahil sa paggamit nito ng isang mekanismong Windows na tinatawag na Protected Proseso. Tinitiyak ng mekanismo ang mga serbisyo ng anti-malware na tumatakbo sa mode ng gumagamit.

Pagpapatawad

Nag-aalok ang Microsoft ng Mga Protektadong Proseso bilang isang paraan upang payagan ang mapagkakatiwalaang, naka-sign code na pagkarga. Samakatuwid, ang mga umaatake ay hindi maaaring gumamit ng DoubleAgent laban sa antivirus kahit na ang isang umaatake ay nakakahanap ng isang bagong pamamaraan na zero-day bilang code nito. Magagamit na ang isang proof-of-concept attack code sa GitHub, kagandahang-loob ng Cybellum.