חוקרי אבטחה מצאו שתוקפים יכולים להשתמש בכלי אימות היישומים של מיקרוסופט כדי להשתלט על מוצרי אנטי-וירוס שונים. חברת האבטחה בישראל, Cybellum, טוענת ששיטת התקפה חדשה המכונה DoubleAgent מנצלת את כלי Windows שנוצרו כדי למנוע התקפות וירוסים - כולל מקאפי, פנדה, אווסט, AVG, אבירה, F-Secure, קספרסקי, Malwarebytes, Bitdefender, Trend Micro, Comodo, ו- ESET - ושהם ישמשו כתוכנות זדוניות.

Cybellum טוענת כי ההתקפה של DoubleAgent מסוגלת גם לפגוע במוצרי אנטי-וירוס אחרים. השיטה עובדת על ידי מניפולציה של Microsoft Application Verifier, מערכת אימות זמן ריצה המתפקדת לאיתור באגים ומשפרת את האבטחה של תוכניות Windows של צד שלישי. הכלי כלול ב- Windows XP עד ל- Windows 10.

כיצד עובד DoubleAgent

Cybellum הסביר את האופן שבו DoubleAgent עובד:

החוקרים שלנו גילו יכולת לא מתועדת של Verifier Application שמקנה לתוקף את היכולת להחליף את האימות הסטנדרטי באימות המותאם אישית שלו. תוקף יכול להשתמש ביכולת זו על מנת להזרים אימות מותאם אישית לכל יישום. לאחר הזרמת האימות המותאם אישית, לתוקף כעת יש שליטה מלאה ביישום. אימות היישומים נוצר על מנת לחזק את אבטחת היישומים על ידי גילוי ותיקון באגים, ולמרבה האירוניה DoubleAgent משתמש בתכונה זו על מנת לבצע פעולות זדוניות.

הבעיה אינה נמצאת בתוך Windows אלא אצל ספקי האבטחה המציעים את מוצרי האנטי-וירוס. Cybellum טוענת כי ניתן להשתמש ב- DoubleAgent כדי לתקוף ארגונים המשתמשים בתוכנות אנטי-וירוס רגישות. Malwarebytes, AVG ו- Trend Micro הם חלק מהספקים שתיקנו את הבעיה למוצרים שלהם. נראה כי Windows Defender הוא מוצר האנטי-וירוס היחיד שחסין בפני DoubleAgent עקב השימוש בו במנגנון Windows המכונה תהליכים מוגנים. המנגנון מאבטח שירותים נגד תוכנות זדוניות הפועלות במצב משתמש.

הקלה

מיקרוסופט מציעה תהליכים מוגנים כדרך לאפשר עומס קוד מהימן וחתום. לפיכך, התוקפים אינם יכולים להשתמש ב- DoubleAgent כנגד האנטי-וירוס גם אם התוקף מוצא טכניקה חדשה של יום אפס כקוד שלה. קוד התקפה של הוכחת מושג זמין כעת ב- GitHub, באדיבות Cybellum.