Дослідники з безпеки виявили, що зловмисники можуть використовувати інструмент Microsoft Verifier Application для захоплення різних антивірусних продуктів. Ізраїльська фірма безпеки Cybellum стверджує, що новий метод атаки, який отримав назву DoubleAgent, використовує засоби Windows, створені для запобігання вірусних атак - включаючи McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, і ESET - і змусити їх діяти як зловмисне програмне забезпечення.

Cybellum каже, що атака DoubleAgent також здатна компрометувати інші антивірусні продукти. Метод працює за допомогою маніпуляції Microsoft Verifier Application, системи перевірки часу виконання, яка функціонує для виявлення помилок та підвищення безпеки сторонніх програм Windows. Інструмент включений у Windows XP до Windows 10.

Як працює DoubleAgent

Cybellum пояснив, як працює DoubleAgent:

Наші дослідники виявили незадокументовану здатність Verifier Application, яка дає зловмисникові можливість замінити стандартний перевіряльник на власний спеціальний верифікатор. Зловмисник може використовувати цю здатність для того, щоб ввести спеціальний верифікатор у будь-яку програму. Після того, як користувацький верифікатор був введений, зловмисник тепер має повний контроль над додатком. Програма перевірки додатків була створена з метою посилення безпеки програми шляхом виявлення та виправлення помилок, і, за іронією долі, DoubleAgent використовує цю функцію для виконання шкідливих операцій.

Проблема полягає не в Windows, а в постачальниках безпеки, які пропонують антивірусні продукти. Cybellum заявляє, що DoubleAgent можна використовувати для нападу на організації, які використовують сприйнятливі антивірусні програми. Malwarebytes, AVG та Trend Micro - одні з постачальників, які вирішили проблему відповідної продукції. Windows Defender, здається, є єдиним антивірусним продуктом, захищеним від DoubleAgent завдяки використанню механізму Windows під назвою «Захищені процеси». Механізм забезпечує захист від зловмисних програм, що працюють у режимі користувача.

Пом'якшення наслідків

Корпорація Майкрософт пропонує захищені процеси як спосіб дозволити завантаження коду з довірою та підписом. Тому зловмисники не можуть використовувати DoubleAgent проти антивірусу, навіть якщо зловмисник знайде нову техніку з нульовим днем ​​як свій код. Код атаки з підтвердженням концепції тепер доступний на GitHub, люб’язно надавши Cybellum.