現在, ウイルス対策プログラムを持っているだけでは安全ではありません, それが判明したとして. セキュリティ会社Cybellumによる新しい調査により、攻撃者がWindowsシステムにインストールされているウイルス対策プログラムを制御できるようにする深刻なゼロデイ脆弱性が発覚しました。. 研究者によると, この欠陥は、既存のすべてのWindowsバージョンに存在します, WindowsXPからWindowsまで 10 最新のビルド.
Cybellumは、ゼロデイ攻撃には「主要なアンチウイルスと次世代のアンチウイルスを完全に制御」, それを追加するアンチウイルスから隠れて逃げる代わりに, 攻撃者は、アンチウイルスを直接攻撃して制御をハイジャックできるようになりました」.
関連している: CVE-2016-7855限定攻撃で悪用されたフラッシュバグ
悪意のある攻撃者がAVプログラムにコードを挿入すると、攻撃が開始されます, したがって、問題のゼロデイを悪用します. 脆弱性とそれが引き起こす攻撃はDoubleAgentと呼ばれています, ユーザーのAVセキュリティエージェントを悪意のあるエージェントに変えるからです, 研究者は説明します. DoubleAgentは文字通り、適切な場所にあるAVがシステムを保護しているのに、実際には悪意のある要素によって悪用されているという錯覚を与えます。.
この攻撃は15年前の脆弱性を利用しています. 最悪の部分は、影響を受けるほとんどのAVベンダーによってまだパッチが適用されていないことです。, これは、個人と組織の両方に対する実際の攻撃に展開される可能性があることを意味します.
攻撃者がアンチウイルスの制御を取得したら, 彼は攻撃者に代わって悪意のある操作を実行するように命令する可能性があります. アンチウイルスは信頼できるエンティティと見なされるため, それによって行われた悪意のある操作は合法と見なされます, 攻撃者に組織内のすべてのセキュリティ製品をバイパスする機能を提供します.
Cybellumの研究者によると, 主要なAVソリューションの一般的な数が影響を受けます, アバストなど, AVG, Avira, Bitdefender, トレンドマイクロ, コモド, ESET, カスペルスキー, F-Secure, Malwarebytes, マカフィー, パンダ, ノートン, クイックヒール.
一部のAVでは脆弱性がすでに特定されています:
- アバスト – CVE-2017-5567
- AVG – CVE-2017-5566
- Avira – CVE-2017-6417
- Bitdefender – CVE-2017-6186
- トレンドマイクロ – CVE-2017-5565
DoubleAgentエクスプロイトはどのように機能しますか?
この欠陥は、WindowsでMicrosoftが提供し、「MicrosoftApplicationVerifier」と呼ばれる正規のツールを悪用します。, これは、開発者がアプリのバグを見つけるのに役立つように設計されています. ツールが危険にさらされて、標準のベリファイアがカスタムのベリファイアに置き換わる可能性があります, 攻撃者がアプリを乗っ取るのを支援することを目的としています.
同社はすでに影響を受けたAVベンダーと連絡を取り合っています. 不運にも, パッチをリリースしたのは2社だけです (MalwarebytesとAVG).
関連している: CVE-2017-3881は以上の影響を及ぼします 300 Ciscoスイッチ
悲しいことに, システムの再起動後もコードを挿入するDoubleAgentの機能により、削除が非常に困難になります.
永続化手法がよく知られていると, セキュリティ製品はそれに応じて署名を更新します. したがって、永続性がわかったら, セキュリティ製品によって検出および軽減できます。新しい永続化手法であること, DoubleAgentはAVをバイパスします, NGAVおよびその他のエンドポイントソリューション, 攻撃者に時間制限なしで検出されずに攻撃を実行する能力を与える.
技術的な詳細については、Cybellumのブログをご覧ください。 役職.