I ricercatori della sicurezza hanno scoperto che gli aggressori possono utilizzare lo strumento Microsoft Application Verifier per rilevare vari prodotti antivirus. La società di sicurezza israeliana Cybellum afferma che un nuovo metodo di attacco soprannominato DoubleAgent sfrutta gli strumenti di Windows creati per prevenire attacchi di virus - tra cui McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo e ESET - e farli agire come malware.

Cybellum afferma che l'attacco DoubleAgent è anche in grado di compromettere altri prodotti antivirus. Il metodo funziona manipolando Microsoft Application Verifier, un sistema di verifica del runtime che funziona per rilevare bug e migliorare la sicurezza dei programmi Windows di terze parti. Lo strumento è incluso in Windows XP fino a Windows 10.

Come funziona DoubleAgent

Cybellum ha spiegato come funziona DoubleAgent:

I nostri ricercatori hanno scoperto un'abilità non documentata di Application Verifier che offre a un utente malintenzionato la possibilità di sostituire il verificatore standard con il proprio verificatore personalizzato. Un utente malintenzionato può utilizzare questa capacità per iniettare un verificatore personalizzato in qualsiasi applicazione. Una volta che il verificatore personalizzato è stato iniettato, l'attaccante ora ha il pieno controllo dell'applicazione. Application Verifier è stato creato per rafforzare la sicurezza delle applicazioni rilevando e correggendo i bug e ironicamente DoubleAgent utilizza questa funzionalità per eseguire operazioni dannose.

Il problema non risiede in Windows ma piuttosto nei fornitori di sicurezza che offrono i prodotti antivirus. Cybellum afferma che DoubleAgent può essere utilizzato per attaccare le organizzazioni che utilizzano i programmi antivirus sensibili. Malwarebytes, AVG e Trend Micro sono alcuni dei fornitori che hanno risolto il problema per i rispettivi prodotti. Windows Defender sembra essere l'unico prodotto antivirus immune a DoubleAgent grazie al suo utilizzo di un meccanismo Windows chiamato Protected Processes. Il meccanismo protegge i servizi antimalware eseguiti in modalità utente.

attenuazione

Microsoft offre Processi protetti come un modo per consentire il caricamento di codice firmato e attendibile. Pertanto, gli attaccanti non possono usare DoubleAgent contro l'antivirus anche se un attaccante trova una nuova tecnica zero-day come codice. Un codice di attacco di prova del concetto è ora disponibile su GitHub, per gentile concessione di Cybellum.