Double Agent: jak się chronić, gdy sam antywirus staje się złośliwy?

Ile razy widzieliśmy w publikowanych przez producentówoprogramowania antywirusowego zapewnienia, że najlepszym sposobem nazabezpieczenie się jest 1. regularne aktualizowanie systemu, 2.używanie antywirusa? Zapewne tak właśnie jest – na zwykłego,klikającego sobie radośnie w Sieci użytkownika czyha mnóstwozagrożeń. Sęk w tym, że jednym z tych zagrożeń może być samantywirus. Zaprezentowany przez firmę Cybellum nowyatak pozwala wykorzystać oprogramowanie zabezpieczające Windowsdo zaatakowania systemu operacyjnego.

Atak, który otrzymał już nazwę Double Agent, wykorzystujepodatność w narzędziu MicrosoftApplication Verifier, służącym do wyszukiwania błędów waplikacjach pisanych w C++ na wszystkich Windowsach od XP poczynając.Badacze Cybellum odkryli nieudokumentowaną funkcję tego narzędzia,która daje napastnikowi możliwość zastąpienia standardowegomechanizmu weryfikacji swoim własnym – i wstrzyknięcia go wdowolną aplikację.

A jeśli już wstrzykiwać, to w co, jeśli nie antywirusa, którydziała w systemie z najwyższymi uprawnieniami i może robić cochce? Przed atakiem przeprowadzanym w ten sposób nie ochronią żadnezabezpieczenia stosowane w organizacji – uzłośliwiony antywirusobejdzie je wszystkie, a nawet je wyłączy. Napastnik rejestrującprzejętą bibliotekę DLL do procesu należącego do oprogramowaniaochronnego może pozwolić sobie na wszelkie złośliwości – możeinstalować furtki w oprogramowaniu, uaktywniać keyloggery, wyłączaćzapory sieciowe, czy też szyfrować i kasować pliki.

Co gorsze, opracowany przez Cybellum atak prowadzi do infekcjiniemal niemożliwej do usunięcia bez wyczyszczenia dysku izainstalowania systemu na nowo. Wstrzyknięty kod przetrwa bowiemwszelkie restarty i instalacje łatek, jak również aktualizacjeantywirusów, które miałyby je zabezpieczyć przed takim atakiem.

Kod źródłowy tej techniki ataku został udostępniony naGitHubie, na blogu Cybellum opublikowano jej pełnądokumentację, a więc sytuacja jest całkiem poważna: przejąćw ten sposób można antywirusy firm takich jak Avast, AVG, Avira,Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee,Norton, Panda, Quick Heal i Trend Micro – a to nie wszystko. Z tegoco piszą odkrywcy luki, odporny jest jedynie Windows Defender, którykorzysta z wprowadzonej kilka lat temu przez Microsoft koncepcjiChronionych Procesów, uodpornionych na wstrzykiwanie kodu.

ESET poinformował o wydaniu zaktualizowanych wersji swoich produktów, zabezpieczonych przed atakiem Double Agent. Na liście uodpornionych antywirusów mamy więc AVG, TrendMicro i ESET.