近日,Cybellum公司發(fā)現(xiàn)了一個0-day漏洞,可完全控制大多數安全產品。此漏洞稱為“DoubleAgent”(雙面間諜),多家安全廠商受到DoubleAgent的影響,包括Avast,AVG,Avira,Bitdefender,趨勢科技,Comodo科摩多,ESET,F(xiàn)-Secure,卡巴斯基,Malwarebytes,McAfee,Panda,Quick Heal和賽門鐵克(Norton)。
目前僅有幾家公司放出針對該漏洞的補丁。
Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
趨勢科技 (CVE-2017-5565)
Comodo
ESET
F-Secure
卡巴斯基
Malwarebytes
McAfee
Panda
Quick Heal
Norton
漏洞利用
此次攻擊涉及到微軟的非托管代碼的運行驗證工具——Application Verifier(應用程序檢驗器)。由Windows XP時代引入的Application Verifier,在所有Windows版本中都默認安裝,其作用是幫助開發(fā)人員快速地在其應用程序中找到微小的編程錯誤,因此該漏洞在所有版本的Windows系統(tǒng)上都可利用。
該工具會在目標應用程序運行測試的工程中加載一個叫做“verifier provider DLL”的文件。
一旦加載完成,該DLL將作為指定進程的提供程序DLL添加到Windows注冊表。 隨后Windows會自動以該DLL注冊名將DLL注入到所有進程中。
據Cybellum公司介紹,Microsoft Application Verifier的工作機制使得大量惡意軟件能夠通過高權限執(zhí)行,攻擊者可注冊一惡意DLL來注入到殺毒軟件或是其他終端安全產品,并劫持代理。部分安全產品嘗試保護與其進程相關的注冊表項,但是研究人員已經找到了一種方法來輕松繞過此保護。
當惡意軟件劫持一款安全產品之后,攻擊者就能利用它做很多事情,比如讓安全產品做出如黑客行為般的惡意操作——修改白名單/黑名單或內部邏輯,下載后門,泄露數據,將惡意軟件傳播到其他機器上,加密/刪除文件(類似于勒索軟件)。
此惡意代碼會在系統(tǒng)重啟,軟件升級或是安全產品再安裝過程中甚至之后注入,因此這種攻擊難以防范。
據稱“DoubleAgent”攻擊可在所有Windows版本中生效,然而,這種攻擊建立在一個合法工具之上,微軟也措手無策。
Cybellum公司已在GitHub上公布漏洞利用細節(jié)