Tegenwoordig, het hebben van een antivirusprogramma is niet genoeg veilig, zoals het blijkt. Een nieuw onderzoek van beveiligingsbedrijf Cybellum heeft een ernstige zero-day kwetsbaarheid die aanvallers in staat stelt om de controle van antivirus programma's op een Windows-systeem geïnstalleerd te nemen opgegraven. Volgens de onderzoekers, het lek is aanwezig in alle bestaande Windows-versies, te beginnen met Windows XP helemaal naar Windows 10 meest recente build.
Cybellum zegt dat de zero-day kan nemen “volledige controle over de belangrijkste antivirusprogramma's en de volgende generatie antiviruses", toe te voegen dat “in plaats van het verbergen en weglopen van de antivirus, aanvallers kunnen nu direct mishandeling en kapen controle over de antivirus".
Verwant: CVE-2016-7855 Flash Bug Exploited in Limited Attacks
De aanval wordt gestart wanneer kwaadaardige acteurs injecteren code in de AV-programma, waardoor het zero-day in kwestie benutten. De kwetsbaarheid en de aanval triggers zijn bijnaam DoubleAgent, want het blijkt de gebruiker AV security agent in een kwaadaardig middel, onderzoekers verklaren. DoubleAgent geeft letterlijk de illusie dat de AV in plaats beschermt het systeem, terwijl in feite het is misbruikt door malafide elementen.
De aanval maakt gebruik van een 15-jarige kwetsbaarheid. Het ergste is dat het nog niet gepatcht door de meeste van de getroffen AV leveranciers, wat betekent dat het bij aanvallen kunnen worden ingezet in het wild tegen zowel individuen en organisaties.
Zodra de aanvaller controle over de antivirus heeft opgedaan, Hij kan het commando om kwaadwillige handelingen uit te voeren ten behoeve van de aanvaller. Omdat de antivirus wordt beschouwd als een vertrouwde entiteit, schadelijke handeling uitgevoerd door het zou legitiem worden beschouwd, waardoor de aanvaller de mogelijkheid om alle security producten die in de organisatie te omzeilen.
Volgens Cybellum onderzoekers, een wijdverspreide aantal grote AV oplossingen worden beïnvloed, zoals Avast, AVG, Avira, Bitdefender, TrendMicro, Comfortabel, CASE, Kaspersky, F-Secure, Malwarebytes, McAffee, Panda, Norton, Quick Heal.
De kwetsbaarheid is al geïdentificeerd in sommige AV:
- Avast – CVE-2017-5567
- AVG – CVE-2017-5566
- Avira – CVE-2017-6417
- Bitdefender – CVE-2017-6186
- TrendMicro – CVE-2017-5565
Hoe werkt DoubleAgent Exploit Work?
De fout maakt gebruik van een legitiem middel aangeboden door Microsoft in Windows en de naam “Microsoft Application Verifier”, die is ontworpen om ontwikkelaars te helpen lokaliseren bugs in hun apps. De tool kan in gevaar worden gebracht naar de plaats van de standaard verificateur nemen met een aangepaste, bedoeld om de aanvaller te helpen bij het kapen van de app.
Het bedrijf heeft al contact gehad met de betrokken AV leveranciers. Helaas, slechts twee van de bedrijven hebben een patch vrijgegeven (Malwarebytes en AVG).
Verwant: CVE-2017-3881 bij meer dan 300 Cisco-switches
Helaas, DoubleAgent de mogelijkheid om code te injecteren, zelfs na een reboot systeem maakt het zeer moeilijk te verwijderen.
Zodra een doorzettingsvermogen techniek is goed bekend, beveiligingsproducten werken hun handtekeningen dienovereenkomstig. Dus zodra de persistentie bekende, het kan worden gedetecteerd en verzacht door de security products.Being een nieuw persistentie techniek, Double Agent omzeild VAN, NGAV en andere eindpunt oplossingen, en het geven van een aanvaller in staat om zijn aanval uit te voeren onopgemerkt zonder tijdslimiet.
Verdere technische details zijn beschikbaar in de agenda Cybellum's post.