特稿 >

科技快讯 >

微软Application Verifier曝0day漏洞,卡巴斯基、McAfee、Norton无一幸免

微软Application Verifier曝0day漏洞,卡巴斯基、McAfee、Norton无一幸免

Xtecher原创 丨 科技快讯

11674
266

2017-03-23

赵逸禅

Xtecher特稿作者

关注

近日,Cybellum发现了一个0day漏洞,这个漏洞被称为“DoubleAgent”,可以被攻击者用来完全控制安全产品。

 

“DoubleAgent”的攻击据称影响到诸多安全厂商,包括Avast,AVG,Avira,Bitdefender,趋势科技,Comodo科摩多,ESET,F-Secure,卡巴斯基,Malwarebytes,McAfee,Panda,Quick Heal和赛门铁克(Norton)。然而,该公司表示只有几家受影响的供应商已经发布了补丁。

 

这个漏洞影响每个Windows版本(从Windows XP to Windows 10)、每个Windows架构(x86和x64)以及每个Windows用户(SYSTEM / Adminetc。)每个目标进程,包括特权进程(OS / Antivirus /等)。这种攻击建立在一个合法工具之上,因此无法打补丁。

 

此次攻击涉及到微软的非托管代码的运行验证工具——Application Verifier(应用程序检验器),它可帮助开发人员在其应用程序中快速找到微小的编程错误。该工具由Windows XP引入,默认情况下安装并在所有操作系统版本上启用。

 

据Cybellum公司介绍,该工具通过将一个叫做“verifier provider DLL”的文件加载到目标应用程序的运行时测试过程中。

 

一旦加载完成,该DLL将作为指定进程的提供程序DLL添加到Windows注册表。随后Windows会自动以该DLL注册名将DLL注入到所有进程中,这个机制使得大量恶意软件能够通过高权限执行,,这允许一个恶意软件执行特权用户注册一个恶意的DLL的进程注入到杀毒软件或是其他终端安全产品,并劫持其代理。这个攻击方法适用于任何进程。

 

一些安全产品尝试保护与其进程相关的注册表项,但是研究人员已经找到了一种方法来轻松绕过此保护。

 

一旦恶意软件劫持安全产品,它可能会滥用其进行各种任务,包括让其代表攻击者执行恶意操作,更改白名单/黑名单和内部逻辑,安装后门程序,泄露数据,将恶意软件传播到其他机器,并加密或删除文件(即勒索软件)。

 

Cybellum公司还指出,攻击很难被阻止,即便采取了在重新启动、更新、重新安装或修补程序等行为。

 

除了修补漏洞之外,Cybellum还表示,安全厂商可以通过受保护的进程来防止这种攻击,Microsoft在Windows 8.1中引入了一个概念,用于保护反病毒软件服务免受攻击。以色列公司表示,迄今为止,这个保护只在Windows Defender中实现。

 

Cybellum公司已在GitHub上公布漏洞利用细节。


编译来源:

https://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/

http://www.securityweek.com/attackers-can-hijack-security-products-microsoft-tool

打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机