Para penyelidik keselamatan mendapati bahawa penyerang boleh menggunakan alat Pengesah Aplikasi Microsoft untuk mengambil alih pelbagai produk antivirus. Firma keselamatan Israel yang berpangkalan di Cybellum mendakwa bahawa kaedah serangan baru yang dijuluki DoubleAgent mengambil kesempatan daripada alat Windows yang dicipta untuk mencegah serangan virus - termasuk McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, dan ESET - dan bertindak sebagai malware.

Cybellum berkata serangan DoubleAgent juga mampu mengorbankan produk antivirus lain. Kaedah ini berfungsi dengan memanipulasi Microsoft Application Verifier, sistem pengesahan runtime yang berfungsi untuk mengesan pepijat dan meningkatkan keselamatan program Windows pihak ketiga. Alat ini termasuk dalam Windows XP melalui ke Windows 10.

Bagaimana DoubleAgent berfungsi

Cybellum menerangkan cara DoubleAgent berfungsi:

Penyelidik kami menemui keupayaan tanpa izin Permohonan Verifier yang memberikan penyerang keupayaan untuk menggantikan pengesah standard dengan pengesahkan sendiri tersendiri. Penyerang boleh menggunakan keupayaan ini untuk menyuntikkan pengesah tersuai ke dalam sebarang permohonan. Apabila pengesah tersuai telah disuntik, penyerang kini mempunyai kawalan penuh ke atas aplikasi itu. Verifier Aplikasi telah diwujudkan untuk mengukuhkan keselamatan aplikasi dengan menemui dan membetulkan pepijat, dan ironinya DoubleAgent menggunakan ciri ini untuk melaksanakan operasi yang berniat jahat.

Masalahnya tidak terletak di dalam Windows tetapi sebaliknya dalam vendor keselamatan yang menawarkan produk antivirus. Cybellum mendakwa DoubleAgent boleh digunakan untuk menyerang organisasi yang menggunakan program antivirus yang terdedah. Malwarebytes, AVG, dan Trend Micro adalah beberapa vendor yang membetulkan isu untuk produk masing-masing. Windows Defender nampaknya satu-satunya produk antivirus yang kebal terhadap DoubleAgent kerana menggunakan mekanisme Windows yang disebut Protected Processes. Mekanisme ini menjamin perkhidmatan anti-malware yang dijalankan dalam mod pengguna.

Mitigasi

Microsoft menawarkan Proses yang Dilindungi sebagai cara untuk membenarkan beban kod yang dipercayai dan ditandatangani. Oleh itu, penyerang tidak boleh menggunakan DoubleAgent terhadap antivirus walaupun penyerang mencari teknik sifar hari baru sebagai kodanya. Kod serangan bukti-konsep kini boleh didapati di GitHub, ihsan Cybellum.