Doubleagent gör att ditt Windows-antivirus fungerar som skadlig programvara
Innehållsförteckning:
Video: How to Disable or Enable Windows Defender on Windows 10 (2020) 2024
Säkerhetsforskare har funnit att angripare kan använda Microsofts Application Verifier-verktyg för att ta över olika antivirusprodukter. Israel-baserade säkerhetsföretag Cybellum hävdar att en ny attackmetod kallad DoubleAgent utnyttjar Windows-verktyg skapade för att förhindra virusattacker - inklusive McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo och ESET - och låt dem fungera som skadlig programvara.
Cybellum säger att DoubleAgent-attacken också kan äventyra andra antivirusprodukter. Metoden fungerar genom att manipulera Microsoft Application Verifier, ett runtime-verifieringssystem som fungerar för att upptäcka buggar och öka säkerheten för Windows-program från tredje part. Verktyget ingår i Windows XP till Windows 10.
Hur DoubleAgent fungerar
Cybellum förklarade hur DoubleAgent fungerar:
Våra forskare upptäckte en odokumenterad förmåga med Application Verifier som ger en angripare förmågan att ersätta standardverifieraren med sin egen anpassade verifierare. En angripare kan använda den här förmågan för att injicera en anpassad verifierare till vilket program som helst. När den anpassade verifieraren har injicerats har angriparen nu full kontroll över applikationen. Application Verifier skapades för att stärka applikationssäkerheten genom att upptäcka och fixa buggar, och ironiskt nog använder DoubleAgent den här funktionen för att utföra skadliga åtgärder.
Problemet ligger inte i Windows utan snarare i säkerhetsleverantörerna som erbjuder antivirusprodukter. Cybellum hävdar att DoubleAgent kan användas för att attackera organisationer som använder mottagliga antivirusprogram. Malwarebytes, AVG och Trend Micro är några av de leverantörer som löste problemet för sina respektive produkter. Windows Defender verkar vara den enda antivirusprodukten som är immun mot DoubleAgent på grund av dess användning av en Windows-mekanism som kallas Protected Processes. Mekanismen säkerställer anti-malware-tjänster som körs i användarläge.
Mitigation
Microsoft erbjuder skyddade processer som ett sätt att tillåta betrodd, signerad kodbelastning. Därför kan angripare inte använda DoubleAgent mot antiviruset även om en angripare hittar en ny nolldagsteknik som sin kod. En proof-of-concept-attackkod finns nu tillgänglig på GitHub, med tillstånd från Cybellum.
Windows-sårbarheter gör plats för ett nytt farligt hot mot dubbleagent skadlig programvara
Precis som onlinesamhället återhämtade sig från den sista vågen av skadliga attacker, har ett nytt hot dykt upp som sätter Windows-användare i fara. Det nya hotet verkar genom antivirusprogram själva, vilket gör det värt namnet DoubleAgent. DoubleAgent kan komma åt och ta kontroll över en dators antivirus genom en Windows XP-sårbarhet ...
Föråldrade fönster och dvs. versioner som fortfarande används av många företag, vilket gör att attacker mot skadlig programvara är överhängande
I en ny artikel, informerade vi dig om att Windows XP-dinosaurien lever och sparkar och drivs av nästan 11% av världens datorer. Detsamma gäller för sin bror, Internet Explorer. Ännu värre är det, enligt en ny studie från Duo Security, att 25% av företagen använder föråldrade IE-versioner och utsätter sig för stora hot mot skadlig programvara. Duo ...
Piratkopierad programvara med skadlig programvara som kostar företag 500 miljarder dollar 2014
Programvaruförsäljare förlorar miljarder dollar varje år på grund av piratkopiering, men användare av piratkopierad programvara påverkas också allvarligt, eftersom produkterna de använder lätt kan infekteras med skadlig programvara. En ny studie belyser hur mycket det kommer att kosta i år att bekämpa den här typen av skadlig programvara. Microsoft fortsätter att försöka ...
