Hoje em dia, ter um programa antivírus não é suficiente para ser seguro, como acabou. Uma nova pesquisa da empresa de segurança Cybellum descobriu uma vulnerabilidade séria de dia zero que permite que invasores assumam o controle de programas antivírus instalados em um sistema Windows. De acordo com os pesquisadores, a falha está presente em todas as versões existentes do Windows, desde o Windows XP até o Windows 10 construção mais recente.
Cybellum diz que o dia zero pode levar “controle total sobre os principais antivírus e antivírus de próxima geração”, acrescentando que “em vez de se esconder e fugir do antivírus, os atacantes agora podem atacar diretamente e sequestrar o controle do antivírus”.
relacionado: CVE-2016-7855 Bug flash explorada em ataques limitados
O ataque é iniciado quando agentes mal-intencionados injetam código no programa AV, explorando assim o dia zero em questão. A vulnerabilidade e o ataque que ela desencadeia foram apelidados de DoubleAgent, porque transforma o agente de segurança antivírus do usuário em um agente malicioso, pesquisadores explicam. O DoubleAgent literalmente dá a ilusão de que o antivírus no local protege o sistema enquanto, na verdade, ele foi abusado por elementos maliciosos.
O ataque tira proveito de uma vulnerabilidade de 15 anos. A pior parte é que ainda não foi corrigido pela maioria dos fornecedores de antivírus afetados, o que significa que pode ser implantado em ataques na selva contra indivíduos e organizações.
Assim que o invasor obtiver o controle do antivírus, ele pode comandá-lo para executar operações maliciosas em nome do invasor. Porque o antivírus é considerado uma entidade confiável, qualquer operação maliciosa feita por ele seria considerada legítima, dando ao invasor a capacidade de contornar todos os produtos de segurança da organização.
De acordo com pesquisadores da Cybellum, um número predominante de soluções AV principais são afetadas, como Avast, AVG, Avira, Bitdefender, TrendMicro, Comodo, ESET, Kaspersky, F-Secure, Malwarebytes, McAffee, Panda, Norton, Cura Rápida.
A vulnerabilidade já foi identificada em alguns AV:
- avast – CVE-2017-5567
- AVG – CVE-2017-5566
- Avira – CVE-2017-6417
- Bitdefender – CVE-2017-6186
- TrendMicro – CVE-2017-5565
Como funciona o DoubleAgent Exploit?
A falha explora uma ferramenta legítima oferecida pela Microsoft no Windows e chamada de “Microsoft Application Verifier”, que é projetado para ajudar os desenvolvedores a localizar bugs em seus aplicativos. A ferramenta pode ser comprometida para tomar o lugar do verificador padrão por um personalizado, destina-se a ajudar o invasor a sequestrar o aplicativo.
A empresa já entrou em contato com os fornecedores de antivírus afetados. Infelizmente, apenas duas das empresas lançaram um patch (Malwarebytes e AVG).
relacionado: CVE-2017-3881 afeta mais de 300 Cisco Switches
Infelizmente, A capacidade do DoubleAgent de injetar código mesmo após a reinicialização do sistema torna muito difícil removê-lo.
Uma vez que uma técnica de persistência é bem conhecida, produtos de segurança atualizam suas assinaturas de acordo. Então, uma vez que a persistência é conhecida, pode ser detectado e mitigado pelos produtos de segurança. Sendo uma nova técnica de persistência, DoubleAgent ignora AV, NGAV e outras soluções de endpoint, e dando a um atacante a capacidade de realizar seu ataque sem ser detectado, sem limite de tempo.
Mais detalhes técnicos estão disponíveis no blog do Cybellum postar.