一个名为双重间谍零日攻击可以接管杀毒软件在Windows机器上,并把它变成恶意软件,勒索赎金,exfiltrates数据或格式的硬盘驱动器加密的文件。
基于从XP通过Windows 10一个15岁的功能在Windows中,攻击是针对由安全厂商Cybellum测试的所有14个防病毒产品有效 - 而且也将是对几乎所有其他的进程在计算机上运行有效。
双重间谍被Cybellum研究人员发现,并没有在野外被看到。
“这次袭击是报告给所有批准的脆弱性,目前正在寻求解决办法,并发布修补程序的主要供应商,”根据一个Cybellum博客。所有的厂商进行了通报90多天前,这是时间负责任地披露安全漏洞,并给予供应商的时间来解决这些问题的标准长度。
在这种情况下,三分之二的已通知已经采取措施来解决这个问题14家杀毒厂商 - AVG和的Malwarebytes,斯拉瓦布朗夫曼Cybellum的CEO说。已通知其他12停住,查杀下,BitDefender,趋势科技,科摩多,ESET,F-Secure公司,卡巴斯基,迈克菲,熊猫,快速治愈和诺顿。
更新:趋势科技发布的这一说法:“在这个时候,我们已经证实,钛是受到此漏洞的唯一产品,我们也有在作品补丁发布作为一项紧迫的安全公告后今天早上。”该公告是这里。
更新:卡巴斯基实验室发出这样的声明:“卡巴斯基实验室要感谢Cybellum技术有限公司发现并报告了其通过微软应用程序验证的无证功能做了一个DLL劫持攻击可能的漏洞的检测,并已加入到这一恶意情况下的阻塞。从2017年3月22日,所有卡巴斯基实验室产品”
UPDATE:全球工程Egemen泰斯的科摩多副总统写关于这个帖子包括:“不,我们不容易受到这种AppVerifier的注入......对于这种攻击成功,[中]恶意软件作者应该能够绕过[魔岛互联网安全]保护CIS通过默认只允许白名单中的应用程序进行修改,例如关键的钥匙。非白名单应用程序将被阻止或沙箱渲染攻击无效“。
更新:诺顿发出这样的声明:“调查这个问题,我们证实了该PoC不利用诺顿安全中的产品漏洞后,这是企图绕过已安装的安全产品,并需要对机器和管理员权限的物理访问是成功的。我们将继续致力于保护我们的客户和已经开发并在它们的目标万一增派检测和阻断保护用户。”
UPDATE:Avast的发出这样的声明:“我们对Cybellum去年惊动通过我们的错误赏金计划,潜在的自卫旁路攻击。我们在实施报告的时间修复,因此可以确认的Avast和AVG 2017吨的产品都在今年早些时候推出的,不容易受到攻击。这是要注意重要的是,利用需要管理员权限才能进行攻击,一旦是这样的话,有很多其他的方法来造成破坏或修改底层操作系统本身。因此,我们给予这个问题,因为“低”和Cybellum的强调的这个漏洞是夸大风险的严重程度“。
更新:查杀发出这样一句话:“在DoubleAgent零日攻击代码微软的应用程序验证程序如何进行操作和理论上用于注入恶意软件到受损的系统应用程序验证所使用的应用程序开发人员在他们的软件来识别和修复漏洞。
“研究的查杀已经确认的核心查杀防病毒专业的过程,那些负责所有的检测和保护的任务,不能由DoubleAgent的PoC影响。这些过程是由应用程序,它通过这个不可访问内部的自我保护功能保护的PoC,有操纵一些不具备高权限或权利下级过程的能力有限。
“我们的开发团队已经审查了这个潜在的攻击载体,正在一个补丁来解决这个问题。这个补丁将在下一主要产品的更新发布。”
双重间谍需要微软应用程序验证,检测和本地应用程序修复错误的工具的一个怪癖的优势。这是由一些被称为是被加载到在运行时应用的“验证提供者DLL”执行。
微软应用程序验证程序可以创建新的验证DLL和一组它的键是那些获得存储在注册表中的注册它们。“一旦DLL已经被注册为一个过程验证提供者的DLL,它会永久地被Windows加载器每次注入进程的进程开始,即使经过重新启动/更新/重新安装/补丁/等,” Cybellum说。换句话说,该DLL仍然存在。
此漏洞实际上是Microsoft应用程序Verifierl的无证功能,布朗夫曼说,所以这是不可能很快地清除任何时候。
布朗夫曼说,有与杀毒平台没有特别的缺陷;这些DLL可以插入任何进程。Cybellum选择攻击他们,因为他们做出有效的攻击面:它们是由计算机上的其他应用程序,包括其他安全软件的信任。
“杀毒软件是我们可以做的最重要的攻击,”他说。“如果你攻击一个组织,不只是消费者,就可以得到在组织的完全控制。没有其他的安全检查杀毒软件。它会绕过的,你可能有安全产品所有的巨大栈“。
正在使用AVG的解决办法和的Malwarebytes包括修补杀毒软件寻找任何程序试图写入杀毒注册表,然后阻止它,他说。“杀毒软件是与一个驱动程序,可以看到几乎所有的内核,”他说。
同时组织可能尝试增加勤奋约下载到访问机器停止双重间谍。
Cybellum说,三年前,微软提供了一个全新的设计理念杀毒厂商可以使用被称为受保护的进程特别是指以保护的杀毒软件。所以他们认为,只允许受信任的受保护的进程,他们签名的代码负荷供应商可以写自己的平台。因此,代码会被保护,任何代码注入攻击,包括双重间谍。
布朗夫曼表示,执行攻击可能是因为有人用脚本小子的技能来完成。该攻击代码可以直接从恶意网站或打开恶意附件进行下载,他说。