Атака DoubleAgent позволяет взламывать антивирусы для Windows

Компания Cybellum, занимающаяся вопросами компьютерной безопасности, обнаружила новые 0-day атаки, которые позволяют злоумышленникам за счет успешной эксплуатации уязвимости получить полный контроль над антивирусными продуктами в любой системе Windows - начиная от Windows XP и заканчивая новейшей сборкой Windows 10.

Компания поясняет, что уязвимость затронула большинство популярных антивирусов, включая продукты Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal и Norton.

Эксплойт под названием DoubleAgent (“Двойной агент”) нацелен на легитимный инструмент Microsoft под названием “Microsoft Application Verifier”. Данный инструмент помогает разработчикам исправлять ошибки в своих приложениях. При взломе стандартное средство проверки приложений может быть заменено на модифицированное средство верификации, которое позволяет атакующему лицу получить полный контроль над системой.

Следующим этапом атаки станет регистрация взломанной библиотеки DLL для процесса, относящегося к антивирусному ПО, что в свою очередь позволяет выполнить вредоносные действия, например устанавливать бэкдоры, добавлять исключения, удалять файлы и даже зашифровывать их с помощью обычных шифровальщиков.

Cybellum сообщает, что все компании-разработчики затронутых уязвимостью антивирусов были проинформированы об опасности, но на момент публикации статьи патчи выпустили только Malwarebytes и AVG.

Что еще хуже, DoubleAgent имеет способность инъекции кода даже после того, как пользователь перезагрузит систему или установить патчи и обновления, что затрудняет процесс удаления угрозы.

В официальном блоге Cybellum сообщается: “Если техника атаки известна, то соответственно антивирусы обновляют свои сигнатурные базы, после чего ее можно будет обнаружить и нейтрализовать средствами антивируса. Каждый раз используя новые техники DoubleAgent может обходить традиционную антивирусную защиту и современные технологии защиты Next-Generation Antivirus (NGAV). Это дает возможность злоумышленнику оставаться незамеченным неограниченное время”.

Видео ниже демонстрируют, как работает атака DoubleAgent с различными антивирусами:

Ответы вендоров

Avast: Официальное заявление Avast от имени руководителя подразделения потребительских продуктов Ондрея Влчека (Ondrej Vlcek): “Мы были предупреждены об обнаружении уязвимости в наших продуктах компанией Cybellum в прошлом году в рамках программы поощрения. Мы разработали исправление и можем подтвердить, что антивирусные продукты семейств Avast и AVG больше не подвержены уязвимости. Важно отметить, что для успешной атаки требуется наличие прав администратора. При предоставлении данных привилегии существует большое количество других способов причинить ущерб и изменить работу операционной системы. Мы классифицируем риск безопасности как “низкий” и считаем, что Cybellum переоценила опасность эксплойта”.

Avira: Официальное заявление Avira: “Эксплойт нулевого дня DoubleAgent демонстрирует способы использования компонента Microsoft Application Verifier для инъекции кода во взломанную систему. Application Verifier используется разработчиками приложений для обнаружения и исправления ошибок в своих приложениях. Исследования Avira подтвердили, что основные процессы Avira Antivirus Pro, ответственные за обнаружение и защиту, не могут быть затронуты DoubleAgent PoC. Данные процессы защищены технологиями самозащиты, и к ним невозможно получить доступ с помощью PoC. Существует ограниченная возможность для модификации некоторых низкоуровневых процессов, которые обычно не имеют повышенных привилегий или прав. Наша команда разработчиков рассмотрела потенциальный вектор атаки и работает над разработкой патча. Патч будет поставляться в рамках следующего основного обновления продуктов.”

Bitdefender: Официальное заявление Bitdefender: “Все продукты Bitdefender, затронутые уязвимостью в инструменте Microsoft Application Verifier, будут обновлены на следующей неделе. Мы бы хотели подчеркнуть, что уязвимость не в продуктах Bitdefender, а в компоненте ОС”.

Comodo: Эгемен Тас (Egemen Tas), старший вице-президент по инжинирингу компании Comodo написал на официальном форуме компании: “Наши продукты не подвержены данной атаки с инъекцией кода через средство проверки приложений. Чтобы атака прошла успешно, автор вредоносной программы должен обойти защиту Comodo Internet Security. CIS по умолчанию разрешает изменять такие критически ключи только доверенным приложениям из белого списка. Остальные приложения будут либо блокироваться, либо исполняться в песочнице, что сделает атаку неэффективной”.

Однако, после общения с представителями Cybellum в Comodo подтвердили, что был раскрыт еще один вектор атаки. Он нацелен на продукты Comodo с настройками по умолчанию. Исправление ожидается в апреле.

ESET: Официальное заявление ESET: “ESET может подтвердить, что компания была проинформирована о публикации “Taking Full Control Over Your Antivirus" и техническом отчете “DoubleAgent: Zero-Day Code Injection and Persistence Technique” от компании Cybellum. Оба доклада описывают технику под названием DoubleAgent, которая заключается в инъекции кода с помощью несанкционированного использования Microsoft Application Verifier. Команда инженеров ESET провели детальный анализ уязвимости и идентифицировали продукты компании для ОС Windows, которые могли быть атакованы. Компания уже завершила разработку патча, подробную информацию о нем можно найти в базе ESET Customer Advisory. Следует подчеркнуть, что опасность данной уязвимости рассматривается как низкая, потому что злоумышленнику требуется получить права администратора на целевой машине. Защита наших клиентов всегда является нашим главным приоритетом, и мы высоко ценим приверженность ответственному раскрытию информации и открытое сотрудничество в области ИТ-безопасности”.

F-Secure: Официальное заявление F-Secure: “Описанная Cybellum техника была впервые представлена Алексом Йонеском (Alex Ionescu) на конференциях в 2015 году, поэтому ее некорректно рассматривать как атаку нулевого дня. Сценарии, в которых злоумышленник успешно скомпрометировал машину и получил повышенные привилегии, хорошо известны в индустрии кибербезопасности. Стандартные механизмы защиты не предназначены для предотвращения подобных атак. Вот почему мы особо подчеркиваем важность технологии “Endpoint detection and response” (EDR), которая успешно обнаруживает подобные атаки, в том числе и описанный Cybellum метод. Решения EDR специально предназначены для распознавания вредоносной активности независимо от того, имеет ли пользователь необходимые права. Мы постоянно добавляем новые функции к нашим продуктам, которые позволяют обнаруживать и предотвращать различные механизмы атаки.”

Kaspersky Lab: Компания “Лаборатория Касперского” опубликовала следующее заявление: “Лаборатория Касперского хотела бы поблагодарить Cybellum Technologies за обнаружение и информирование об уязвимости, которая сделала возможной взлом DLL через недокументированную функцию Microsoft Application Verifier. Обнаружение и блокировка этого вредоносного сценария осуществляется всеми продуктами компании начиная с 22 марта 2017 года”.

McAfee: Официальное заявление McAfee: “Компания McAfee исправила проблему, связанную со средством верификации приложений в обновлении, выпущенном 17 марта”.

Malwarebytes: Компания Malwarebytes подтвердила, что на данный момент официальное заявление еще не подготовлено.

Symantec (Norton): Компания Norton опубликовала следующее заявление: “После расследования данной проблемы мы подтверждаем, что проект PoC не эксплуатирует уязвимость в Norton Security. Попытка обойти защиту установленного продукта потребует физический доступ к машине для получения прав администратора. Мы разработали и развернули дополнительные средства обнаружения и блокировки для защиты пользователей в маловероятном случае атаки".

Trend Micro: Компания Trend Micro опубликовала следующее заявление: “На данный момент мы подтверждаем, что Titanium остается единственным продуктом компании, подверженным уязвимости. Патч уже находится в разработке и будет опубликован как критическое обновление безопасности немного позже”. Бюллетень безопасности опубликован здесь.