Истраживачи безбедности открили су да нападачи могу да користе Мицрософтов алат за верификацију апликација да би преузели различите антивирусне производе. Израелска компанија за безбедност Цибеллум тврди да нова метода напада названа ДоублеАгент користи Виндовс алате креиране за спречавање вирусних напада - укључујући МцАфее, Панда, Аваст, АВГ, Авира, Ф-Сецуре, Касперски, Малваребитес, Битдефендер, Тренд Мицро, Цомодо, и ЕСЕТ - и нуде да делују као малвер.

Цибеллум каже да напад ДоублеАгент такође може угрозити друге антивирусне производе. Метода функционише тако што манипулира Мицрософтовим апликационим верификатором, системом верификације рунтиме-а који функционише на откривању грешака и повећању сигурности Виндовс програма других произвођача. Алат је укључен у Виндовс КСП до Виндовс 10.

Како функционише ДоублеАгент

Цибеллум је објаснио начин на који ДоублеАгент делује:

Наши истраживачи су открили недокументирану способност Апплицатион Верифиер-а који омогућава нападачу да замијени стандардни верификатор са властитим прилагођеним верификатором. Нападач може да искористи ову способност да би убризгао прилагођени верификатор у било коју апликацију. Након што је прилагођени верификатор убризган, нападач сада има потпуну контролу над апликацијом. Верификатор апликација креиран је са циљем да ојача сигурност апликација откривањем и исправљањем грешака, а иронично ДоублеАгент користи ову функцију за обављање злонамерних операција.

Проблем није у Виндовс-у, већ у добављачима безбедности који нуде антивирусне производе. Цибеллум тврди да ДоублеАгент може да се користи за напад на организације које користе осетљиве антивирусне програме. Малваребитес, АВГ и Тренд Мицро су неки од добављача који су ријешили проблем за своје производе. Чини се да је Виндовс Дефендер једини антивирусни производ који је имун на ДоублеАгент, јер користи Виндовс механизам који се зове Протецтед Процесс. Механизам обезбеђује анти-малваре услуге које се покрећу у корисничком режиму.

Ублажавање

Мицрософт нуди заштићене процесе као начин да се омогући поуздано учитавање потписаног кода. Због тога, нападачи не могу да користе ДоублеАгент против антивируса чак и ако нападач пронађе нову технику ништице као свој код. Код напада доказа о концепту сада је доступан на ГитХуб-у, из љубазности Цибеллума.