Al giorno d'oggi, avere un programma antivirus non è sufficiente per essere sicuri, come risulta. Una nuova ricerca condotta da società di sicurezza Cybellum ha portato alla luce una grave vulnerabilità zero-day che consente agli aggressori di prendere il controllo dei programmi antivirus installati su un sistema Windows. Secondo i ricercatori, la falla è presente in tutte le versioni di Windows esistenti, a partire da Windows XP tutta la strada fino a Windows 10 più recente costruzione.
Cybellum dice lo zero-day può prendere “pieno controllo sui principali antivirus e antivirus prossima generazione", aggiungendo che “invece di nascondersi e scappare via dalla antivirus, attaccanti possono ora direttamente aggressione e dirottare il controllo sulla antivirus".
Correlata: CVE-2016-7855 Flash Bug sfruttata in attacchi limitati
L'attacco è iniziato quando gli attori maligni iniettare codice nel programma AV, sfruttando il giorno zero in questione. La vulnerabilità e l'attacco si innesca è stato soprannominato DoubleAgent, perché trasforma agente di sicurezza AV dell'utente in un agente dannoso, ricercatori spiegano. DoubleAgent dà letteralmente l'illusione che l'AV in atto protegge il sistema, mentre in realtà è stato abusato da elementi dannosi.
L'attacco sfrutta una vulnerabilità di 15 anni. La parte peggiore è che è ancora essere patchato dalla maggior parte dei produttori di antivirus colpite, il che significa che potrebbe essere distribuito in attacchi nel selvaggio contro entrambi gli individui e le organizzazioni.
Una volta che l'attaccante ha guadagnato il controllo della antivirus, egli può comandare per eseguire operazioni dannose per conto dell'attaccante. Dato che l'antivirus è considerato un'entità attendibile, qualsiasi operazione dannoso fatto da sarebbe considerato legittimo, dando l'attaccante la possibilità di bypassare tutti i prodotti per la sicurezza nell'organizzazione.
Secondo i ricercatori Cybellum, un numero prevalente di importanti soluzioni AV sono colpiti, come ad esempio Avast, AVG, Avira, Bitdefender, TrendMicro, Comodo, CASE, Kaspersky, F-Secure, Malwarebytes, McAffee, Panda, Norton, Quick Heal.
La vulnerabilità è già stata identificata in alcuni AV:
- Avast – CVE-2017-5567
- AVG – CVE-2017-5566
- Avira – CVE-2017-6417
- Bitdefender – CVE-2017-6186
- TrendMicro – CVE-2017-5565
Come funziona DoubleAgent Exploit lavoro?
Il difetto sfrutta uno strumento legittimo offerto da Microsoft in Windows e denominato “Microsoft Application Verifier”, che è stato progettato per aiutare gli sviluppatori individuare i bug nelle loro applicazioni. Lo strumento può essere compromessa a prendere il posto del verificatore di serie con uno personalizzato, lo scopo di assistere l'attaccante in dirottare app.
La società è già in contatto con i produttori di antivirus colpite. Sfortunatamente, solo due delle società hanno rilasciato una patch (Malwarebytes e AVG).
Correlata: CVE-2017-3881 colpisce più di 300 switch Cisco
Tristamente, la capacità di DoubleAgent per iniettare codice anche dopo un riavvio del sistema rende molto difficile da rimuovere.
Una volta che una tecnica di persistenza è ben noto, prodotti per la sicurezza di aggiornare le loro firme di conseguenza. Quindi, una volta che la persistenza è noto, può essere rilevata e mitigato dalla sicurezza products.Being una nuova tecnica di persistenza, Double Agent bypassato DI, NGAV e altre soluzioni endpoint, e dando una capacità utente malintenzionato di eseguire il suo attacco inosservato senza limiti di tempo.
Ulteriori dettagli tecnici sono disponibili nel blog di Cybellum posta.