Исследователи безопасности обнаружили, что злоумышленники могут использовать инструмент Microsoft Application Verifier для захвата различных антивирусных продуктов. Израильская фирма по обеспечению безопасности Cybellum утверждает, что новый метод атаки, получивший название DoubleAgent, использует преимущества инструментов Windows, созданных для предотвращения вирусных атак, в том числе McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo. и ESET - и пусть они действуют как вредоносные программы.

Cybellum говорит, что атака DoubleAgent также способна скомпрометировать другие антивирусные продукты. Этот метод работает путем манипулирования Microsoft Application Verifier, системой проверки во время выполнения, которая функционирует для обнаружения ошибок и повышения безопасности сторонних программ Windows. Инструмент включен в Windows XP до Windows 10.

Как работает DoubleAgent

Cybellum объяснил, как работает DoubleAgent:

Наши исследователи обнаружили недокументированную способность Application Verifier, которая дает злоумышленнику возможность заменить стандартный верификатор своим собственным верификатором. Злоумышленник может использовать эту возможность, чтобы внедрить пользовательский верификатор в любое приложение. После того, как пользовательский верификатор был введен, злоумышленник теперь имеет полный контроль над приложением. Application Verifier был создан для усиления безопасности приложений путем обнаружения и исправления ошибок, и по иронии судьбы DoubleAgent использует эту функцию для выполнения вредоносных операций.

Проблема не в Windows, а в поставщиках безопасности, которые предлагают антивирусные продукты. Cybellum утверждает, что DoubleAgent может использоваться для атак на организации, использующие уязвимые антивирусные программы. Malwarebytes, AVG и Trend Micro являются одними из поставщиков, которые исправили проблему для своих соответствующих продуктов. Защитник Windows, по-видимому, является единственным антивирусным продуктом, который защищен от DoubleAgent благодаря использованию механизма Windows, называемого защищенными процессами. Механизм защищает антивирусные сервисы, которые работают в пользовательском режиме.

смягчение

Microsoft предлагает Защищенные процессы как способ разрешить загрузку доверенного, подписанного кода. Таким образом, злоумышленники не могут использовать DoubleAgent против антивируса, даже если злоумышленник обнаружит новую технику нулевого дня в качестве своего кода. На GitHub теперь доступен проверочный код атаки, любезно предоставленный Cybellum.