Sikkerhedsforskere har fundet, at angribere kan bruge Microsofts Application Verifier-værktøj til at overtage forskellige antivirusprodukter. Det israelsk-baserede sikkerhedsfirma Cybellum hævder, at en ny angrebsmetode kaldet DoubleAgent drager fordel af Windows-værktøjer, der er oprettet for at forhindre virusangreb - inklusive McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, og ESET - og få dem til at fungere som malware.

Cybellum siger, at DoubleAgent-angrebet også er i stand til at kompromittere andre antivirusprodukter. Metoden fungerer ved at manipulere Microsoft Application Verifier, et runtime-verifikationssystem, der fungerer til at opdage fejl og øge sikkerheden i tredjeparts Windows-programmer. Værktøjet er inkluderet i Windows XP til Windows 10.

Sådan fungerer DoubleAgent

Cybellum forklarede, hvordan DoubleAgent fungerer:

Vores forskere opdagede en udokumenteret evne til Application Verifier, der giver en angriber evnen til at erstatte standardverifikatoren med sin egen brugerdefinerede verifikator. En angriber kan bruge denne evne til at injicere en brugerdefineret verifikation i ethvert program. Når den tilpassede verifikator er blevet injiceret, har angriberen nu fuld kontrol over applikationen. Application Verifier blev oprettet for at styrke applikationssikkerheden ved at opdage og rette bugs, og ironisk nok bruger DoubleAgent denne funktion til at udføre ondsindede handlinger.

Problemet ligger ikke i Windows, men snarere i de sikkerhedsleverandører, der tilbyder antivirusprodukter. Cybellum hævder, at DoubleAgent kan bruges til at angribe organisationer, der bruger de modtagelige antivirusprogrammer. Malwarebytes, AVG og Trend Micro er nogle af de leverandører, der løste problemet for deres respektive produkter. Windows Defender ser ud til at være det eneste antivirusprodukt, der er immun mod DoubleAgent på grund af dets brug af en Windows-mekanisme kaldet Protected Processes. Mekanismen sikrer anti-malware-tjenester, der kører i brugertilstand.

Mitigation

Microsoft tilbyder beskyttede processer som en måde at tillade pålidelig, underskrevet kodelastning. Derfor kan angribere ikke bruge DoubleAgent mod antivirus, selvom en angriber finder en ny nul-dages teknik som dens kode. En proof-of-concept-angrebskode er nu tilgængelig på GitHub, med tilladelse fra Cybellum.