quinta-feira, 23 de março de 2017

[Notícia] DoubleAgent: Antivírus podem ser usados para atacar o Windows

DoubleAgent
 
Os antivírus deveriam ser a proteção que os Usuários precisam ter em seus computadores, para se defenderem de ataques e de todos os tipos de malware. Se no geral conseguem ter essa função, na verdade é que podem ser usados contra eles próprios.

Uma falha descoberta recentemente, o DoubleAgent, essa vulnerabilidade permite controlar o antivírus remotamente e permite atacar o Windows.

Esta não é uma falha nova, tendo pelo menos 15 anos, e afeta todas as versões do Windows, desde o velhinho e descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.

Que falha é explorada pelo DoubleAgent


O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legítima do Windows e que aparentemente não pode ser corrigida.

O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, permitindo aos programadores detectar de forma rápida erros nas suas aplicações.

DoubleAgent ataque antivírus

Como funciona o DoubleAgent


A vulnerabilidade está na forma como o Application Verifier trata dos DLLs. De acordo com os investigadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.

Mas os hackers conseguem, de forma simples, substituir essa DLL por uma infectada. Para isso basta que criem uma chave de registo com o mesmo nome da que querem atacar.

Para provar a sua teoria, os investigadores conseguiram controlar um antivírus, colocando-o para encriptar um arquivo como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.



Quais os antivírus afetados pelo DoubleAgent


Os investigadores da Cybellum avaliaram várias soluções de antivírus para determinar a existência desta falha e a lista dos AV com problemas pode ser consultada abaixo. Nos testes foram usadas as mais recentes versões disponíveis.

Lista dos antivírus afetados:

  • Avast (CVE-2017-5567)
  • AVG (CVE-2017-5566)
  • Avira (CVE-2017-6417)
  • Bitdefender (CVE-2017-6186)
  • Trend Micro (CVE-2017-5565)
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • Malwarebytes
  • McAfee
  • Panda
  • Quick Heal
  • Norton

    • Esta falha foi reportada aos fabricantes de antivírus e muitos não atualizaram as suas soluções em 90 dias, estando estas versões ainda vulneráveis ao DoubleAgent.

    Esta é uma falha grave que, se explorada, pode dar total controle de um computador ao hacker. Depois de comprometido o antivírus, as possibilidades são inúmeras, passando este a funcionar como um controle remoto.

    Link original: https://pplware.sapo.pt/microsoft/windows/doubleagent-antivirus-atacar-windows/
    Postado por às
    Marcadores: , , , , , ,

    Nenhum comentário:

    Postar um comentário

    Assinar: Postar comentários (Atom)