Doubleagent får windows antivirus til å fungere som skadelig programvare
Innholdsfortegnelse:
Video: Do Antiviruses Still Slow You Down? (2020) 2024
Sikkerhetsforskere har funnet at angripere kan bruke Microsofts Application Verifier-verktøy for å overta forskjellige antivirusprodukter. Det Israel-baserte sikkerhetsfirmaet Cybellum hevder at en ny angrepsmetode kalt DoubleAgent utnytter Windows-verktøy som er opprettet for å forhindre virusangrep - inkludert McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, og ESET - og la dem fungere som skadelig programvare.
Cybellum sier at DoubleAgent-angrepet også er i stand til å kompromittere andre antivirusprodukter. Metoden fungerer ved å manipulere Microsoft Application Verifier, et kjøretidsverifiseringssystem som fungerer for å oppdage feil og øke sikkerheten til tredjeparts Windows-programmer. Verktøyet er inkludert i Windows XP til Windows 10.
Slik fungerer DoubleAgent
Cybellum forklarte hvordan DoubleAgent fungerer:
Forskerne våre oppdaget en udokumentert evne til Application Verifier som gir en angriper muligheten til å erstatte standardverifisereren med sin egen tilpassede verifiserer. En angriper kan bruke denne muligheten for å injisere en tilpasset verifiserer i ethvert program. Når den tilpassede verifikatoren er blitt injisert, har angriperen nå full kontroll over applikasjonen. Application Verifier ble opprettet for å styrke applikasjonssikkerheten ved å oppdage og fikse feil, og ironisk nok bruker DoubleAgent denne funksjonen for å utføre ondsinnede operasjoner.
Problemet ligger ikke i Windows, men i sikkerhetsleverandørene som tilbyr antivirusproduktene. Cybellum hevder DoubleAgent kan brukes til å angripe organisasjoner som bruker mottakelige antivirusprogrammer. Malwarebytes, AVG og Trend Micro er noen av leverandørene som løste problemet for sine respektive produkter. Windows Defender ser ut til å være det eneste antivirusproduktet som er immun mot DoubleAgent på grunn av bruken av en Windows-mekanisme kalt Protected Processes. Mekanismen sikrer anti-malware-tjenester som kjører i brukermodus.
Skadebegrensning
Microsoft tilbyr beskyttede prosesser som en måte å tillate pålitelige, signerte kodelastinger. Derfor kan ikke angripere bruke DoubleAgent mot antiviruset selv om en angriper finner en ny nulldagers teknikk som sin kode. En angrepskode som er bevismessig er nå tilgjengelig på GitHub, med tillatelse fra Cybellum.
Ny internettutforsker som har en nulldagers utnyttelse, lusker skadelig programvare til datamaskiner
Et kinesisk cybersecurity-firma har oppdaget en nulldagers sårbarhet i Microsofts Internet Explorer, som de sier allerede brukes av cyberkriminelle for å smitte maskiner. Qihoo 360, selskapet som ga ut den sjokkerende oppdagelsen, avslørte i sin rapport at feilen, kalt "dobbeltdrap" på grunn av det faktum at den er rettet mot både Internet Explorer ...
Kb890830 oppdaterer skadelig programvare for fjerning av programvare for jubileumsoppdatering
Microsoft har erklært total krig mot skadelig programvare ved å rulle ut en serie sikkerhetsoppdateringer som tar sikte på å oppdatere forskjellige systemsårbarheter i Windows 10 Anniversary Update OS. Teknigiganten oppdaterte også verktøyet for fjerning av skadelig programvare, og forbedret verktøyets kapasitet til å oppdage og fjerne skadelig programvare inkludert Blaster, Sasser og Mydoom0. Denne sikkerhetsfunksjonen er et av de beste valgene når ...
Utdaterte vinduer og dvs. versjoner som fremdeles brukes av mange selskaper, noe som gjør angrep mot skadelig programvare overhengende
I en fersk artikkel informerte vi deg om at Windows XP-dinosauren lever og sparker, og blir drevet av nesten 11% av verdens datamaskiner. Det samme gjelder broren Internet Explorer. Enda verre er det, ifølge en fersk studie fra Duo Security, at 25% av selskapene bruker utdaterte IE-versjoner og utsetter seg for store trusler mot skadelig programvare. Duo ...
