Hjem > Cyber ​​Nyheder > DoubleAgent Zero-Day gør store AV-programmer til ondsindede agenter
CYBER NEWS

DoubleAgent Zero-Day Slår Større AV programmer i Ondsindede Agenter

I dag, have et antivirusprogram er ikke nok til at være sikker, det viser sig. En ny forskning fra sikkerhedsfirmaet Cybellum har afdækket en alvorlig zero-day sårbarhed, der gør det muligt for hackere at overtage kontrollen med antivirus programmer installeret på en Windows-system. Ifølge forskerne, fejlen er til stede i alle eksisterende Windows-versioner, startende med Windows XP hele vejen op til Windows 10 seneste build.

Cybellum siger nul-dagen kan tage "fuld kontrol over store antiviruses og næste generation antiviruses", tilføjede, at "stedet for at skjule og løbe væk fra antivirus, angribere kan nu direkte overfald og kapre kontrol over antivirus".

Relaterede: CVE-2016-7855 Flash Bug udnyttes Begrænsede angreb

Angrebet indledes, når ondsindede aktører injicere kode i AV-program, dermed udnytte zero-day pågældende. Sårbarheden og angrebet det udløser er blevet døbt DoubleAgent, fordi det viser brugerens AV sikkerhed agent i en ondsindet agent, forskere forklare. DoubleAgent bogstaveligt talt giver den illusion, at AV på plads beskytter systemet, mens den faktisk det er blevet misbrugt af ondsindede elementer.

Angrebet udnytter en 15-årig sårbarhed. Den værste del er, at det er endnu ikke lappet af de fleste af de berørte AV leverandører, betyder, at det kunne indsættes i angreb i naturen mod både enkeltpersoner og organisationer.

Når hackeren har fået kontrol over antivirus, han kan befaler det at udføre ondsindede handlinger på vegne af angriberen. Fordi antivirus betragtes som en betroet enhed, skadelig operation udført af det ville blive betragtet som legitimt, giver angriberen mulighed for at omgå alle de sikkerhedsprodukter i organisationen.

Ifølge Cybellum forskere, en udbredt række store AV-løsninger påvirkes, såsom Avast, AVG, Avira, Bitdefender, TrendMicro, Komfortabel, SAG, Kaspersky, F-Secure, Malwarebytes, Mcaffee, Panda, Norton, Quick Heal.
Sårbarheden er allerede blevet identificeret i nogle AV:

  • Avast – CVE-2017-5567
  • AVG – CVE-2017-5566
  • Avira – CVE-2017-6417
  • Bitdefender – CVE-2017-6186
  • TrendMicro – CVE-2017-5565

Hvordan virker DoubleAgent Exploit Work?

Fejlen udnytter et legitimt redskab, der tilbydes af Microsoft i Windows og kaldes "Microsoft Application Verifier", som er designet til at hjælpe udviklere finde bugs i deres apps. Værktøjet kan kompromitteres at træde i stedet for standard verifikator med en brugerdefineret én, betød at hjælpe angriberen i kapre app.

Virksomheden har allerede været i kontakt med de berørte AV leverandører. Desværre, kun to af virksomhederne har frigivet en patch (Malwarebytes og AVG).

Relaterede: CVE-2017-3881 påvirker mere end 300 Cisco switche

Desværre, DoubleAgent evne til at injicere kode selv efter en genstart af systemet gør det meget vanskeligt at fjerne.

Når en vedholdenhed teknik er velkendt, sikkerhedsprodukter opdatere deres underskrifter i overensstemmelse hermed. Så når den vedholdenhed er kendt, det kan påvises, og afbødes ved sikkerheden products.Being en ny vedholdenhed teknik, Double Agent omfartsveje AF, NGAV og andre endpoint løsninger, og give en hacker mulighed for at udføre sit angreb uopdaget uden tidsbegrænsning.

Yderligere tekniske oplysninger findes i Cybellum blog indlæg.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig