Odkryto nowego zero-day'a wycelowanego w popularne programy antywirusowe. Atakujący wykorzystujący lukę w Weryfikatorze Aplikacji może spowodować uzyskanie kontroli nad oprogramowaniem zabezpieczającym system Windows. Co ciekawe, twórcy DoubleAgent'a wykorzystali bardzo starą, bo 15-letnią lukę obecną od wersji... XP.
Wykorzystując Weryfikator Aplikacji, atakujący może wstrzykiwać własne procedury weryfikujące wewnątrz dowolnej aplikacji - w idealnej dla cyberprzestępcy sytuacji, do programu antywirusowego. W przypadku takiego scenariusza, program antywirusowy mający wiele uprawnień w systemie Windows może stać się przepustką do dokonania szkód w oprogramowaniu. Atakujący, który uzyska dostęp do pakietu ochronnego będzie w stanie wykonać sporo szkodliwych z punktu widzenia użytkownika operacji i dodatkowo - każda z nich będzie uważana za bezpieczną.
Możliwość wykonania tej operacji jest dostępna w oprogramowaniu: Avast, Avira, Bitdefender, Comodo, Trend Micro, F-Secure- ESET, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal oraz Norton. Dodatkowo, atakujący może wykorzystać wewnętrzne mechanizmy systemu po to, aby utrzymać działanie zmodyfikowanego oprogramowania nawet po zainstalowaniu aktualizacji, poprawek, wykonaniu ponownego uruchomienia, a nawet reinstalacji systemu. Wskazuje się ponadto na możliwość wstrzyknięcia złośliwego kodu do innych zaufanych aplikacji.
Jeżeli dobrze zauważyliście, Windows Defender nie znalazł się na liście oprogramowania, które może zostać w ten sposób zaatakowane. Krytykowana technologia Protected Processes od Microsoftu sprawia, że niemożliwe jest zaatakowanie oprogramowania Windows Defender w ten sposób. Wielokrotnie wskazywaliśmy na to, że pakiet ochronny Microsoftu w wielu przypadkach jest absolutnie wystarczający i pozwala na uniknięcie większości cyberzagrożeń pod warunkiem, że nasz system jest na bieżąco aktualizowany i nie postępujemy lekkomyślnie w trakcie konsumowania zasobów sieci.
Brzmi jak ironia losu, prawda? Tak właśnie jest. Luka w systemie Windows pozwala na zaatakowanie programu antywirusowego, ale na atak nie jest podatny Windows Defender z powodu wykorzystywania technologii... również Microsoftu. Przedstawiony przez badaczy atak jest czysto hipotetyczny i nie odnaleziono żadnych dowodów na to, że ktokolwiek pokusił się o wypróbowanie możliwości nowo odkrytej luki w mechanizmach systemu Windows. Nie powinniście się również obawiać na zapas - Microsoft z pewnością wie o tej luce i w najbliższym czasie powinien dostarczyć odpowiednią poprawkę. Również twórcy oprogramowania antywirusowego zadbają o to, by uszczelnić swoje pakiety.
Jak wspomniałem w innym tekście na ten temat - wszystko zależy od tego, jak korzystasz z sieci. Jeżeli wiesz co robisz, nie ściągasz byle czego z internetu i raczej nawigujesz po znanych sobie stronach - Windows Defender absolutnie wystarczy. Co innego, jeżeli nie wierzysz pakietowi Microsoftu, a przede wszystkim sobie - warto wiedzieć, że w większości przypadków zwykła rozwaga pomaga uniknąć większości infekcji.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
