r   e   k   l   a   m   a
r   e   k   l   a   m   a

Double Agent: jak się chronić, gdy sam antywirus staje się złośliwy?

Strona główna AktualnościBEZPIECZEŃSTWO

Ile razy widzieliśmy w publikowanych przez producentów oprogramowania antywirusowego zapewnienia, że najlepszym sposobem na zabezpieczenie się jest 1. regularne aktualizowanie systemu, 2. używanie antywirusa? Zapewne tak właśnie jest – na zwykłego, klikającego sobie radośnie w Sieci użytkownika czyha mnóstwo zagrożeń. Sęk w tym, że jednym z tych zagrożeń może być sam antywirus. Zaprezentowany przez firmę Cybellum nowy atak pozwala wykorzystać oprogramowanie zabezpieczające Windows do zaatakowania systemu operacyjnego.

Atak, który otrzymał już nazwę Double Agent, wykorzystuje podatność w narzędziu Microsoft Application Verifier, służącym do wyszukiwania błędów w aplikacjach pisanych w C++ na wszystkich Windowsach od XP poczynając. Badacze Cybellum odkryli nieudokumentowaną funkcję tego narzędzia, która daje napastnikowi możliwość zastąpienia standardowego mechanizmu weryfikacji swoim własnym – i wstrzyknięcia go w dowolną aplikację.

A jeśli już wstrzykiwać, to w co, jeśli nie antywirusa, który działa w systemie z najwyższymi uprawnieniami i może robić co chce? Przed atakiem przeprowadzanym w ten sposób nie ochronią żadne zabezpieczenia stosowane w organizacji – uzłośliwiony antywirus obejdzie je wszystkie, a nawet je wyłączy. Napastnik rejestrując przejętą bibliotekę DLL do procesu należącego do oprogramowania ochronnego może pozwolić sobie na wszelkie złośliwości – może instalować furtki w oprogramowaniu, uaktywniać keyloggery, wyłączać zapory sieciowe, czy też szyfrować i kasować pliki.

r   e   k   l   a   m   a

Co gorsze, opracowany przez Cybellum atak prowadzi do infekcji niemal niemożliwej do usunięcia bez wyczyszczenia dysku i zainstalowania systemu na nowo. Wstrzyknięty kod przetrwa bowiem wszelkie restarty i instalacje łatek, jak również aktualizacje antywirusów, które miałyby je zabezpieczyć przed takim atakiem.

Kod źródłowy tej techniki ataku został udostępniony na GitHubie, na blogu Cybellum opublikowano jej pełną dokumentację, a więc sytuacja jest całkiem poważna: przejąć w ten sposób można antywirusy firm takich jak Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal i Trend Micro – a to nie wszystko. Z tego co piszą odkrywcy luki, odporny jest jedynie Windows Defender, który korzysta z wprowadzonej kilka lat temu przez Microsoft koncepcji Chronionych Procesów, uodpornionych na wstrzykiwanie kodu.

Jak do tej pory łatkę dla swoich produktów wydały jedynie AVG i TrendMicro. Sami zaś odkrywcy przygotowali demonstracje ataku, przejęcia antywirusa Symanteca, Aviry i Comodo. Wyglądają nieźle. Oczywiście w razie realnego ataku, zielone uspokajające napisy o tym, że jesteś chroniony, pozostaną zielone i uspokajające.

Aktualizacja

ESET poinformował o wydaniu zaktualizowanych wersji swoich produktów, zabezpieczonych przed atakiem Double Agent. Na liście uodpornionych antywirusów mamy więc AVG, TrendMicro i ESET.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłeś(aś) naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.