Новая техника, которая позволяет хакерам захватывать контроль над компьютером жертвы, обнаружена экспертами из компании Cybellum. Для проведения атаки, которая получила название DoubleAgent, применяется инструмент Microsoft Application Verifier, с помощью которого можно внедрить вредоносный код в другие приложения.
Утилита Microsoft Application Verifier предназначена для выявления и ликвидации мелких ошибок и критических проблем безопасности в приложениях. Она присутствует в составе всех версий Windows. Чтобы начать проверку, разработчики должны загрузить в свое приложение DLL-библиотеку Microsoft Application Verifier. По словам исследователей, злоумышленники могут воспользоваться утилитой для того, чтобы подключить вредоносную DLL-библиотеку и сделать какое-либо приложение (к примеру, антивирус) вредоносным. Затем это приложение может использоваться для захвата контроля над компьютером с различными версиями Windows (от XP до 10).
Атака DoubleAgent является чрезвычайно опасной, так как может быть применена для подмены любого защитного решения. Используя уязвимость DoubleAgent, хакер может отключить антивирус, принудить его не реагировать на те или иные типы вредоносных программ, использовать защитное решение как прокси для кибератак на локальную сеть, повышать привилегии на системе, наносить вред компьютеру или провоцировать отказ в обслуживании.
Как утверждают эксперты, уязвимостью затронуты такие антивирусы, как Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal и Trend Micro.
Эксперты уже сообщили производителям о проблеме. На данный момент исправления уязвимости выпустили лишь компании AVG и Malwarebytes.
UPD от 24.03.17: Представители компании Avast связались с редакцией SecureNews для того, чтобы дать свой комментарий относительно ситуации с DoubleAgent.
Исполнительный вице-президент и генеральный директор по разработке потребительских решений Avast Ондржей Влчек:
«Еще в прошлом году в рамках нашей программы Bug Bounty специалисты Cybellum сообщили нам о потенциальной возможности обхода защитных решений. Мы внесли исправления в последние релизы, и могу подтвердить, что продукты Avast и AVG 2017, запущенные в начале этого года, не уязвимы перед этой атакой. Важно отметить, что этот эксплойт требует права администратора, чтобы провести атаку, а раз так, существует множество других способов причинить ущерб или модифицировать скрытую операционную систему самостоятельно. Таким образом, мы оцениваем серьезность этого вопроса как «низкую», опасность этого эксплойта явно переоценена специалистами Cybellum».