Sicherheitsforscher haben festgestellt, dass Angreifer mithilfe des Application Verifier-Tools von Microsoft verschiedene Antivirenprodukte übernehmen können. Das in Israel ansässige Sicherheitsunternehmen Cybellum behauptet, dass eine neue Angriffsmethode namens DoubleAgent Windows-Tools nutzt, um Virenangriffe zu verhindern - darunter McAfee, Panda, Avast, AVG, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro und Comodo und ESET - und lassen Sie sie als Malware fungieren.

Laut Cybellum kann der DoubleAgent-Angriff auch andere Antivirenprodukte gefährden. Die Methode manipuliert den Microsoft Application Verifier, ein Laufzeitüberprüfungssystem, mit dem Fehler erkannt und die Sicherheit von Windows-Programmen von Drittanbietern erhöht werden. Das Tool ist in Windows XP bis Windows 10 enthalten.

So funktioniert DoubleAgent

Cybellum erklärte die Funktionsweise von DoubleAgent:

Unsere Forscher entdeckten eine undokumentierte Funktion von Application Verifier, mit der ein Angreifer den Standardverifizierer durch seinen eigenen benutzerdefinierten Verifizierer ersetzen kann. Ein Angreifer kann diese Fähigkeit verwenden, um einen benutzerdefinierten Prüfer in eine beliebige Anwendung einzufügen. Nachdem der benutzerdefinierte Prüfer injiziert wurde, hat der Angreifer nun die volle Kontrolle über die Anwendung. Application Verifier wurde erstellt, um die Anwendungssicherheit zu erhöhen, indem Fehler entdeckt und behoben werden. Ironischerweise verwendet DoubleAgent diese Funktion, um böswillige Vorgänge auszuführen.

Das Problem liegt nicht bei Windows, sondern bei den Sicherheitsanbietern, die die Antivirenprodukte anbieten. Cybellum behauptet, dass DoubleAgent verwendet werden kann, um Unternehmen anzugreifen, die anfällige Antivirenprogramme verwenden. Malwarebytes, AVG und Trend Micro sind einige der Anbieter, die das Problem für ihre jeweiligen Produkte behoben haben. Windows Defender scheint das einzige Antivirenprodukt zu sein, das aufgrund der Verwendung eines Windows-Mechanismus namens Protected Processes gegen DoubleAgent immun ist. Der Mechanismus schützt Anti-Malware-Dienste, die im Benutzermodus ausgeführt werden.

Minderung

Microsoft bietet geschützte Prozesse an, um das Laden von vertrauenswürdigem, signiertem Code zu ermöglichen. Daher können Angreifer DoubleAgent nicht gegen das Virenschutzprogramm verwenden, selbst wenn ein Angreifer eine neue Zero-Day-Technik als Code findet. Ein Proof-of-Concept-Angriffscode ist jetzt mit freundlicher Genehmigung von Cybellum auf GitHub verfügbar.