Компанията по сигурността Cybellum е открила нова zero-day заплаха, която присъства при всички версии на Windows и позволява на хакерите да поемат контрол върху антивирусната програма.
Опасността присъства както при Windows XP, така и при последните и най-актуални версии на Windows 10.
В блога си Cybellium обясняват, че са засегнати всички известни антивирусни решения като Bitdefender, Avast, AVG, Panda, Trend Micro, Comodo, F-Secure, ESET, Kaspersky, Norton, McAfee, Quick Heal, Avira и Malwarebytes.
Експлойтът е кръстен DoubleAgent и разчита на легитимното решение „Microsoft Application Verifier“, предоставено от Майкрософт и предлагащо се в Windows.
Microsoft Application Verifier е създаден с ясната цел да помага на разработчиците да откриват проблеми в продуктите, които разработват, но сега се оказва, че той може да бъде похитен от зложелатели, което да даде пълен контрол върху приложението.
Това става със заместването на стандартния верификатор с друг, а следващата стъпка е да се регистрира компрометирана библиотека към процес на антивируснотата програма.
Това от своя страна широко отваря вратата за всякакви зловредни дейности като добавяне на изключения, инсталиране на задни вратички, криптиране или изтриване на файлове на потребителя, като същинска ransomware атака.
От Cybellum съобщават, че са уведомили компаниите на антивирусен софтуер, но към момента едва две от тях са реагирали и са закърпили своите продукти. Това са Malwarebytes и AVG.
„Тъжният, но реален факт е, че по-голямата част от компаните тепърва трябва да закърпят дупката по сигрността и тя може да бъде използвана безпроблемно от всякакви зложелатели за атакуването на почти всяка организация, която използва антивирус. Веднъж след като атакуващият поеме контрол над антивирусния софтуер, той може да го кара да извършва зловредни операции, които са в интерес на атакуващия.“
Лошото е, че DoubleAgent има възможност да инжектира код дори и след потребителски рестарт, инсталиране на кръпки или ъпдейти и поради тази причина се премахва изключително трудно.
Предоставяме ви демонстрация на това как малуерът DoubleAgent действа при система с Norton Antivirus.