Saugumo tyrėjai nustatė, kad užpuolikai gali naudoti „Microsoft“ taikomųjų programų tikrinimo įrankį, norėdami perimti įvairius antivirusinius produktus. Izraelyje įsikūrusi saugos įmonė „Cybellum“ teigia, kad nauju „DoubleAgent“ pavadinimu išpuolių metodu pasinaudojami „Windows“ įrankiais, sukurtais siekiant užkirsti kelią virusų išpuoliams - įskaitant „McAfee“, „Panda“, „Avast“, AVG, „Avira“, „F-Secure“, „Kaspersky“, „Malwarebytes“, „Bitdefender“, „Trend Micro“, „Comodo“. ir ESET - ir leisti, kad jie veiktų kaip kenkėjiškos programos.

„Cybellum“ sako, kad „DoubleAgent“ ataka taip pat gali pakenkti kitiems antivirusiniams produktams. Šis metodas veikia manipuliuojant „Microsoft Application Verifier“ - vykdymo laiko tikrinimo sistema, veikiančia aptikti klaidas ir padidinti trečiųjų šalių „Windows“ programų saugumą. Įrankis įtrauktas į „Windows XP“ iki „Windows 10“.

Kaip veikia „DoubleAgent“

„Cybellum“ paaiškino, kaip veikia „DoubleAgent“:

Mūsų tyrėjai atrado be dokumentų patvirtintą „Application Verifier“ galimybę, kuri suteikia užpuolikui galimybę pakeisti standartinį tikrintoją savo paties pasirinktiniu tikrintuvu. Užpuolikas gali naudoti šią galimybę norėdamas įpurkšti pasirinktinį tikrintuvą į bet kurią programą. Suleidus pasirinktinį tikrintoją, užpuolikas dabar turi visišką programos valdymą. Programos tikrintuvas buvo sukurtas siekiant sustiprinti programos saugumą aptikant ir ištaisant klaidas, ir ironiškai, kad „DoubleAgent“ naudoja šią funkciją kenkėjiškoms operacijoms atlikti.

Problema kyla ne sistemoje „Windows“, o saugumo pardavėjams, siūlantiems antivirusinius produktus. „Cybellum“ teigia, kad „DoubleAgent“ gali būti naudojamas pulti organizacijas, kurios naudoja jautrias antivirusines programas. „Malwarebytes“, „AVG“ ir „Trend Micro“ yra keli pardavėjai, kurie išsprendė savo atitinkamų produktų problemą. Panašu, kad „Windows Defender“ yra vienintelis antivirusinis produktas, neatsparus „DoubleAgent“, nes jame naudojamas „Windows“ mechanizmas, vadinamas „Protected Processes“. Šis mechanizmas apsaugo nuo kenkėjiškų programų, veikiančių vartotojo režimu.

Švelninimas

„Microsoft“ siūlo apsaugotus procesus kaip būdą, leidžiantį įkelti patikimą, pasirašytą kodą. Todėl užpuolikai negali naudoti „DoubleAgent“ nuo antivirusinės, net jei užpuolikas nustato naują nulinės dienos techniką. „Citellum“ sutikus, „GitHub“ dabar yra koncepcijos įrodymo išpuolių kodas.