Способ кибератаки DoubleAgent позволяет захватить контроль над компьютером с помощью антивируса

Эксперты безопасности из Cybellum обнаружили очередной способ, который могут использовать киберпреступники для захвата контроля над вашим компьютером. Атака "нулевого дня" под названием DoubleAgent использует инструмент Microsoft Application Verifier. Через него разработчики находят и исправляют ошибки в своих приложениях.

Как это работает?

Разработчики должны загрузить DLL в приложение через Microsoft Application Verifier, чтобы проверить его на баги. Именно в этом процессе исследователи Cybellum обнаружили огромную уязвимость: хакеры могут заменить предоставленный Microsoft DLL на свой. Фактически доказано, что этот метод можно использовать для захвата антивирусных приложений и превращения их в вредоносные программы. Затем поврежденный антивирус позволяет управлять компьютером, работающим на любой более-менее популярной версии Windows - от XP до последней версии Windows 10. Более детально процесс показано на видео ниже.

Какие антивирусы в опасности?

Еще три месяца назад исследователи уведомили следующие компании о уязвимости разрабатываемых ними антивирусов:

• Avast (CVE-2017-5567)
• AVG (CVE-2017-5566)
• Avira (CVE-2017-6417)
• Bitdefender (CVE-2017-6186)
• Trend Micro (CVE-2017-5565)
• Comodo
• ESET
• F-Secure
• Kaspersky
• Malwarebytes
• McAfee
• Panda
• Quick Heal
• Norton

Только некоторые компании из списка выше выпустили обновление безопасности для своего софта. Пока что это только Malwarebytes и AVG, вскоре к ним добавится Trend Micro. Еще стоит отметить, что в теории через данную уязвимость можно использовать для захвата ПК не только антивирусы, но и любую программу, использующую Microsoft Application Verifier.

Источник: Cybellum