DoubleAgent: Antivírus podem ser usados para atacar o Windows

DoubleAgentOs antivírus deveriam ser a proteção que os utilizadores têm nas suas máquinas, para as defenderem contra-ataques e todos os tipos de malware. Se no geral conseguem ter essa função, a verdade é que afinal podem ser usados para atacar os utilizadores. Uma falha recentemente descoberta, o DoubleAgent, veio colocar a nu uma vulnerabilidade que pode levar a que os antivírus sejam controlados remotamente e que possam atacar o Windows.

Esta não é uma falha nova, tendo pelo menos 15 anos, e afeta todas as versões do Windows, desde o velhinho e descontinuado XP até ao recente Windows 10.

É extremamente perigosa e pode ser explorada sem qualquer limitação.

Que falha é explorada pelo DoubleAgent

O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.

O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, permitindo aos programadores detetar de forma rápida erros nas suas aplicações.

DoubleAgent ataque antivírus

Como funciona o DoubleAgent

A vulnerabilidade está na forma como o Application Verifier trata dos DLLs. De acordo com os investigadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.

Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.

Para provar a sua teoria, os investigadores conseguiram controlar um antivírus, colocando-o a cifrar ficheiros como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.

Quais os antivírus afetados pelo DoubleAgent

Os investigadores da Cybellum avaliaram várias soluções de antivírus para determinar a existência desta falha e a lista dos AV com problemas pode ser consultada abaixo. Nos testes foram usadas as mais recentes versões disponíveis.

Lista dos antivírus afetados

Esta falha foi reportada aos fabricantes de antivírus e muitos não atualizaram as suas soluções em 90 dias, estando estas versões ainda vulneráveis ao DoubleAgent.

Esta é uma falha grave que, se explorada, pode levar a que o controlo de uma máquina seja passado aos atacantes. Depois de comprometido o antivírus, as possibilidades são inúmeras, passando este a funcionar como um controlo remoto.

Fonte: Cybellum

Via: pplware

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: