近日,Cybellum公司发现了一个0-day漏洞,可完全控制大多数安全产品。此漏洞称为“DoubleAgent”(双面间谍),多家安全厂商受到DoubleAgent的影响,包括Avast,AVG,Avira,Bitdefender,趋势科技,Comodo科摩多,ESET,F-Secure,卡巴斯基,Malwarebytes,McAfee,Panda,Quick Heal和赛门铁克(Norton)。
目前仅有几家公司放出针对该漏洞的补丁。
漏洞利用Avast (CVE-2017-5567)AVG (CVE-2017-5566)Avira (CVE-2017-6417)Bitdefender (CVE-2017-6186)趋势科技 (CVE-2017-5565)ComodoESETF-Secure卡巴斯基MalwarebytesMcAfeePandaQuick HealNorton
此次攻击涉及到微软的非托管代码的运行验证工具——Application Verifier(应用程序检验器)。由Windows XP时代引入的Application Verifier,在所有Windows版本中都默认安装,其作用是帮助开发人员快速地在其应用程序中找到微小的编程错误,因此该漏洞在所有版本的Windows系统上都可利用。
该工具会在目标应用程序运行测试的工程中加载一个叫做“verifier provider DLL”的文件。
一旦加载完成,该DLL将作为指定进程的提供程序DLL添加到Windows注册表。 随后Windows会自动以该DLL注册名将DLL注入到所有进程中。
据Cybellum公司介绍,Microsoft Application Verifier的工作机制使得大量恶意软件能够通过高权限执行,攻击者可注册一恶意DLL来注入到杀毒软件或是其他终端安全产品,并劫持代理。部分安全产品尝试保护与其进程相关的注册表项,但是研究人员已经找到了一种方法来轻松绕过此保护。
当恶意软件劫持一款安全产品之后,攻击者就能利用它做很多事情,比如让安全产品做出如黑客行为般的恶意操作——修改白名单/黑名单或内部逻辑,下载后门,泄露数据,将恶意软件传播到其他机器上,加密/删除文件(类似于勒索软件)。
此恶意代码会在系统重启,软件升级或是安全产品再安装过程中甚至之后注入,因此这种攻击难以防范。
据称“DoubleAgent”攻击可在所有Windows版本中生效,然而,这种攻击建立在一个合法工具之上,微软也措手无策。
Cybellum公司已在GitHub上公布漏洞利用细节 。
参考来源:securityweek,cybellum,转载自Freebuf
| 欢迎光临 全球主机交流论坛 (http://bbs.cuwww.com/) | Powered by Discuz! X3.2 |