Pesquisadores de segurança descobriram que os invasores podem usar a ferramenta Application Verifier da Microsoft para controlar vários produtos antivírus. A empresa de segurança com sede em Israel Cybellum alega que um novo método de ataque chamado DoubleAgent aproveita as ferramentas do Windows criadas para impedir ataques de vírus - incluindo McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo e ESET - e eles devem agir como malware.

Cybellum diz que o ataque do DoubleAgent também é capaz de comprometer outros produtos antivírus. O método funciona manipulando o Microsoft Application Verifier, um sistema de verificação de tempo de execução que funciona para detectar erros e aumentar a segurança de programas do Windows de terceiros. A ferramenta está incluída no Windows XP até o Windows 10.

Como o DoubleAgent funciona

Cybellum explicou como o DoubleAgent funciona:

Nossos pesquisadores descobriram uma capacidade não documentada do Application Verifier que permite ao invasor substituir o verificador padrão por seu próprio verificador personalizado. Um invasor pode usar essa capacidade para injetar um verificador personalizado em qualquer aplicativo. Depois que o verificador personalizado foi injetado, o invasor agora tem controle total sobre o aplicativo. O Application Verifier foi criado para fortalecer a segurança do aplicativo, descobrindo e corrigindo erros, e ironicamente o DoubleAgent usa esse recurso para executar operações maliciosas.

O problema não está no Windows, mas nos fornecedores de segurança que oferecem os produtos antivírus. A Cybellum afirma que o DoubleAgent pode ser usado para atacar organizações que usam os programas antivírus suscetíveis. Malwarebytes, AVG e Trend Micro são alguns dos fornecedores que corrigiram o problema para seus respectivos produtos. O Windows Defender parece ser o único produto antivírus imune ao DoubleAgent devido ao uso de um mecanismo do Windows chamado Processos Protegidos. O mecanismo protege serviços anti-malware que são executados no modo de usuário.

Mitigação

A Microsoft oferece Processos Protegidos como uma maneira de permitir o carregamento de código assinado e confiável. Portanto, os invasores não podem usar o DoubleAgent contra o antivírus, mesmo que um invasor encontre uma nova técnica de dia zero como seu código. Um código de ataque de prova de conceito está agora disponível no GitHub, cortesia da Cybellum.