Обнаружена атака DoubleAgent, использующая инструмент Windows для превращения любого приложения во вредоносное ПО

Исследователи безопасности из компании Cybellum обнаружили новую атаку, названную DoubleAgent. Она использует отладочный инструмент Windows для внедрения вредоносного ПО в другие приложения.

Что находится под угрозой?

DoubleAgent ставит под угрозу работу с антивирусами следующих фирм: Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal и Norton. Другие антивирусные продукты также могут находиться под угрозой атаки. Единственные поставщики средств безопасности, исправившие данную проблему, — это Malwarebytes, AVG и Trend Micro.

Атака использует Microsoft Application Verifier, инструмент для обнаружения ошибок в сторонних Windows-приложениях и повышения их безопасности, который доступен начиная с Windows XP. DoubleAgent может поражать все программные продукты. Cybellum сделала упор на антивирусное ПО, так как эти продукты считаются надежными и обладают повышенными привилегиями.

Как работает DoubleAgent?

Исследователи обнаружили незарегистрированную способность Application Verifier, дающую злоумышленнику возможность подменить стандартный верификатор. Злоумышленник может использовать это для внедрения своего верификатора в любое приложение. После этого он получит полный контроль над приложением.

Майкл Энгстлер, соучредитель и главный директор по технологиям компании Cybellum, объясняет, что DoubleAgent позволяет злоумышленнику внедрить любую динамически подключаемую библиотеку в любой процесс. Атака выдержит перезагрузку, а также попытки удалить или переустановить программу.

Неужели уязвимы все антивирусы?

Единственным антивирусным продуктом, который защищен от DoubleAgent, является Windows Defender. Объясняется это тем, что только он использует механизм Windows Protected Processes, разработанный специально для защиты от вредоносного ПО в пользовательском режиме. Microsoft представила эту функцию в Windows 8.1.

Cybellum опубликовала proof-of-concept атаки на GitHub. Видео-демонстрацию атаки можно увидеть на видео ниже:

Источник: ZDNet