Doubleagent face ca antivirusul Windows să acționeze ca malware
Cuprins:
Video: Terrorist attack Ep 1/2 Double agent Doctor 2024
Cercetătorii de securitate au descoperit că atacatorii pot utiliza instrumentul Microsoft Application Verifier pentru a prelua diverse produse antivirus. Compania de securitate din Israel, Cybellum, susține că o nouă metodă de atac numită DoubleAgent profită de instrumentele Windows create pentru a preveni atacurile de virus - inclusiv McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo și ESET - și faceți-i să acționeze ca malware.
Cybellum spune că atacul DoubleAgent este capabil să compromită și alte produse antivirus. Metoda funcționează prin manipularea Microsoft Application Verifier, un sistem de verificare în timpul rulării care funcționează pentru a detecta erori și pentru a spori securitatea programelor Windows terțe. Instrumentul este inclus în Windows XP până la Windows 10.
Cum funcționează DoubleAgent
Cybellum a explicat modul în care funcționează DoubleAgent:
Cercetătorii noștri au descoperit o abilitate nedocumentată a aplicației de verificare a aplicației care oferă unui atacator capacitatea de a înlocui verificatorul standard cu propriul său verificator personalizat. Un atacator poate utiliza această abilitate pentru a injecta un verificator personalizat în orice aplicație. Odată ce verificatorul personal a fost injectat, atacatorul are acum control deplin asupra aplicației. Application Verifier a fost creat pentru a consolida securitatea aplicației prin descoperirea și remedierea erorilor și, în mod ironic, DoubleAgent folosește această caracteristică pentru a efectua operațiuni rău intenționate.
Problema nu se află în Windows, ci mai degrabă în furnizorii de securitate care oferă produse antivirus. Cybellum susține că DoubleAgent poate fi folosit pentru a ataca organizațiile care utilizează programele antivirus sensibile. Malwarebytes, AVG și Trend Micro sunt unii dintre furnizorii care au rezolvat problema pentru produsele respective. Windows Defender pare a fi singurul produs antivirus care este imun la DoubleAgent datorită utilizării unui mecanism Windows numit Procese protejate. Mecanismul asigură servicii anti-malware care rulează în modul utilizator.
Atenuare
Microsoft oferă procese protejate ca o modalitate de a permite încărcarea codului semnat de încredere. Prin urmare, atacatorii nu pot utiliza DoubleAgent împotriva antivirusului chiar dacă un atacator găsește o nouă tehnică de zile zero ca cod. Un cod de atac de dovadă a conceptului este acum disponibil pe GitHub, cu amabilitatea Cybellum.
Iată de ce microsoft-ul dezactivează antivirusul terților în actualizarea Windows 10 creatori
Cu ceva timp în urmă, Kaspersky Labs a depus plângeri antimonopol împotriva Microsoft în Europa și a presupus că compania a dezactivat software-ul antivirus terț în Windows 10 în favoarea Windows Defender. Microsoft a dezactivat temporar unele părți ale software-ului AV din cauza unor probleme de incompatibilitate Directorul de gestionare a programelor pentru întreprinderea și securitatea Windows, Rob Lefferts, a recunoscut că Microsoft ...
Fix: antivirusul kaspersky nu se va actualiza pe PC-uri Windows
Dacă nu puteți dezinstala cea mai recentă versiune antivirus Kaspersky de pe computer, acest ghid de depanare vă va ajuta să remediați această problemă.
Noua caracteristică de copilot permite doi controlori xbox unu să acționeze ca unul
Dacă sunteți un Xbox One Insider, probabil ați observat că actualizările recente ale sistemului de operare aduc o serie de funcții noi și interesante. Există un ecran de pornire reînnoit, amintiri Cortana și alarme pentru sesiunile de jocuri, actualizări mai transparente ale sistemului și noua caracteristică Copilot. Microsoft crede cu tărie că viitoarea actualizare a Xbox One Creators ar trebui să suporte mai multe ...
