Исследователи из компании Cybellum обнаружили новую технику, позволяющую злоумышленникам получить контроль над компьютером жертвы. Атака под названием DoubleAgent эксплуатирует механизм Microsoft Application Verifier для внедрения вредоносного кода в другие приложения.
Инструмент Microsoft Application Verifier предназначен для обнаружения и устранения мелких неполадок и критических пробем безопасности в приложениях и поставляется в составе всех версий Windows. Для проверки разработчикам необходимо загрузить DLL-библиотеку Microsoft Application Verifier в свое приложение. Как пояснили исследователи, атакующие могут использовать утилиту для подключения вредоносной DLL-библиотеки и превратить приложение, например, антивирус, во вредоносное. Далее это приложение может использоваться для получения контроля над компьютером под управлением версий Windows от XP до последнего релиза Windows 10.
Атака DoubleAgent чрезвычайна опасна, поскольку может использоваться для подмены любого продукта безопасности. Эксплуатируя уязвимость DoubleAgent, злоумышленник может отключить антивирус, заставить его не реагировать на определенные типы вредоносного ПО\атак, использовать антивирусное решение в качестве прокси для атак на локальную сеть, повысить права на системе, нанести повреждения компьютеру или вызвать отказ в обслуживании.
По данным экспертов, атака затрагивает следующие антивирусные решения: Avast (CVE-2017-5567), AVG (CVE-2017-5566), Avira (CVE-2017-6417), Bitdefender (CVE-2017-6186), Trend Micro (CVE-2017-5565), Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal, Norton.
Исследователи уже проинформировали производителей указанных продуктов о проблеме. В настоящее время обновления, устраняющие данную уязвимость, выпустили только компании Malwarebytes и AVG. Специалисты Trend Micro готовят соответствующий патч.