Windows

DoubleAgent: Antivírus podem ser usados para atacar o Windows

20 Comentários

Os antivírus deveriam ser a proteção que os utilizadores têm nas suas máquinas, para as defenderem contra-ataques e todos os tipos de malware. Se no geral conseguem ter essa função, a verdade é que afinal podem ser usados para atacar os utilizadores.

Uma falha recentemente descoberta, o DoubleAgent, veio colocar a nu uma vulnerabilidade que pode levar a que os antivírus sejam controlados remotamente e que possam atacar o Windows.

DoubleAgent

Esta não é uma falha nova, tendo pelo menos 15 anos, e afeta todas as versões do Windows, desde o velhinho e descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.

Que falha é explorada pelo DoubleAgent

O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.

O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, permitindo aos programadores detetar de forma rápida erros nas suas aplicações.

DoubleAgent ataque antivírus

Como funciona o DoubleAgent

A vulnerabilidade está na forma como o Application Verifier trata dos DLLs. De acordo com os investigadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.

Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.

Para provar a sua teoria, os investigadores conseguiram controlar um antivírus, colocando-o a cifrar ficheiros como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.

Quais os antivírus afetados pelo DoubleAgent

Os investigadores da Cybellum avaliaram várias soluções de antivírus para determinar a existência desta falha e a lista dos AV com problemas pode ser consultada abaixo. Nos testes foram usadas as mais recentes versões disponíveis.

Lista dos antivírus afetados

Esta falha foi reportada aos fabricantes de antivírus e muitos não atualizaram as suas soluções em 90 dias, estando estas versões ainda vulneráveis ao DoubleAgent.

Esta é uma falha grave que, se explorada, pode levar a que o controlo de uma máquina seja passado aos atacantes. Depois de comprometido o antivírus, as possibilidades são inúmeras, passando este a funcionar como um controlo remoto.

Fonte: Cybellum

PUB
Autor: Pedro Simões
Partilhar:
Tags:
antivirus DoubleAgent malware Microsoft Windows

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
O Facebook Live também já chegou aos computadores pessoais
Artigo anterior

O Facebook Live também já chegou aos computadores pessoais
NASA quer transformar o Sol num super telescópio
Próximo artigo

NASA quer transformar o Sol num super telescópio
PUB

Comentários

20

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de moonnn
    moonnn

    lol e os doubleagents:Facebook esses nao contam, a internet nao foi criada para servir os utilizadores mas sim os seus criadores

    Responder
    1. Avatar de Rui
      Rui

      Doubleagents facebook como funciona isso

      Responder
    2. Avatar de Rui
      Rui

      Entao o windows defender e um utilizador cauteloso e atento é mais que suficiente?

      Responder
      1. Avatar de moonnn
        moonnn

        Nada e suficiente a nao foi construido para ser

        Responder
  2. Avatar de KDE
    KDE

    O Avast free neste momento alem de encher o w10 de popups ainda descarrega malware intrusivo

    Responder
  3. Avatar de censo
    censo

    Eu só uso o Defender, que até hoje nunca me deixou mal.

    Responder
  4. Avatar de Francisco Santos
    Francisco Santos

    🙂 Windows Defender

    Responder
    1. Avatar de Pérolas
      Pérolas

      Clamtk for linux..

      Responder
  5. Avatar de Alvega
    Alvega

    Para alem de concordar com as respostas anteriores (moonnn e F.Santos), acrescento , foi colocado um Post aqui no blog onde se dizia ser dispensável o Anti-virus pois “Segundo o ex-desenvolve-dor da Mozilla, os antivírus interferiram com recursos de segurança ”
    Pela minha experiência pessoal: faz anos que eu duvidava da “honestidade” dos anti-virus, e decidi seguir as dicas do dito Eng, e retirei o anti-virus, resultado…até hoje o Win defender tem feito o seu papel, e á BORLIX.

    Responder
  6. Avatar de stealth
    stealth

    os sistemas hoje em dia sao seguros o suficiente, a maior falha neste momento e humana, a maior parte dos ataques actualmente requer que o utilizador execute algum tipo de codigo. os antivirus nada podem fazer quanto a isso…

    Responder
  7. Avatar de Fernando Saraiva
    Fernando Saraiva

    Uma dúvida: o programa Malawarebytes também pode sofrer do problema de doubleagent? Digo isto porque é um programa que me recomendaram ter em coordenancia com o antivirus.

    Responder
  8. Avatar de Roberto K.M.
    Roberto K.M.

    A falha em questão, que acredito não ser tanto um defeito, é que para um antivírus funcionar de forma correcta ele tem permissões ilimitadas, podendo varrer todo o computador, examinando qualquer ficheiro oculto, protegido ou não de igual forma. Pode sobrescrever, apagar, mover, fazer o que quiser. É o seu trabalho, tudo de forma automática.

    Responder
  9. Avatar de Insider
    Insider

    Se tiverem acesso ao homebanking, e não utilizarem uma solução de segurança que as instituições de crédito considerem legítima, experimentem pedir-lhes o dinheiro que vos roubaram da vossa conta atacada que vão ver a resposta que têm!

    Responder
    1. Avatar de Anti-Obnóxios
      Anti-Obnóxios

      Nao digas disparates! O que não falta, são decisoes judicias, que o provam.
      Nenhum contrato de homebanking te obriga ( ou poderia obrigar) a instalar este ou aquele produto de segurança, extra-contrato, nomeadamente, em que as despesas, seriam sempre a cargo do cliente, do ponto de vista particular. Nesse caso, a própria instituição, eventualmente poderia ou teria, à partida, de incluir uma determinada solução (paga ou não) obrigatória, no pack de subscricão, instalação e acesso ao serviço. Tipo, se não aceitares essas condições, não permitiriam o acesso ao serviço.
      Logo, podes funcionar com algo gratuito ou até nem ter nenhum.
      Algo diferente num litígio, é apurar se foram violadas as mais elementares regras de segurança online ou não. Tipo, o cliente, clica em tudo que mexe, apõe as suas credencias em qq sitio e de qq maneira, expõe via email, telefone, redes sociais com amigos etc.. Mesmo em casos, que o cliente pretendeu nao por reaçao, mas por sua iniciativa, entrar no site do banco e foi iludido, por uma pagina fraudulenta, que ilude praticamente na perfeiçao a original, o banco sera sempre responsabilizado, por nao ter tomado as medidas necessarias e suficientes, para impedir essa utilizaçao fraudulenta. Tipo verificaçao 2 passos, os famosos micro-processadores ou vulgo “calculadoras”, que geram um código instantaneo, no exato momento etc.. Eu, já ha cerca de 10 anos. que utilizo estes aparelhos, em contas de brokers, norte-americanos.
      Os bancos, tal como seguradoras, emp telecomunicaçoes, publicas etc, tem muito o vício de por default, atirar sempre para o consumidor ou cliente as responsabilidades ; depois há quem dê luta e quem desista. Até pq os precessos judicias nao sao baratos, ás vezes podem não compensar ( e e´com isso que as instituiçoes jogam), embora os centros de arbitragem e resoluçao de conflitos, hoje em dia, ja sejam mais acessiveis.

      Responder
      1. Avatar de Insider
        Insider

        Ora ora “Anti-Obnóxios”, pelo teu comentário fica provado que não disse nenhum disparate, teve exactamente a reacção espera, menos a boa educação da tua parte.

        Responder
        1. Avatar de Insider
          Insider

          espera=esperada

          Responder
  10. Avatar de V3lh0D0R35t3l0
    V3lh0D0R35t3l0

    De salientar que este exploit Pelo menos no Bitdefender só afectar as versões mais antigas do Bitdefender Total Security ( Code injection vulnerability in Bitdefender Total Security 12.0 (Bitdefender Total Security 2009) (and earlier)).

    Presumo que este problema esteja resolvido com o Bitdefender Total Security 2017 que é a versão 21.0.2x.xx

    Portanto quem ainda não migrou para uma versão mais recente é melhor que o faça! 🙂

    Responder
    1. Avatar de Hélder Ferreira
      Hélder Ferreira

      Esta vulnerabilidade ainda não foi corrigida no BitDefender.
      Segundo um técnico de suporte no fórum da BitDefender, a Cybellum avisou-os em Novembro.

      Mas até ao momento esse fix ainda não foi disponibilizado em nenhuma versão.
      “While a fix is scheduled for later this year for Bitdefender solutions to prevent this, the fact that in order for the exploit be successful, it needs to be executed with administrator rights, considerably narrows the attack surface. Its actually easier to uninstall the security solution if you have administrator rights for example.”

      No entanto a Kaspersky já disponibilizou o fix para todas as versões das suas soluções a partir do dia 22 de Março:
      “Kaspersky Lab would like to thank Cybellum Technologies LTD for discovering and reporting the vulnerability which made a DLL Hijacking attack possible via an undocumented feature of Microsoft Application Verifier. The detection and blocking of this malicious scenario has been added to all Kaspersky Lab products from March 22, 2017.”

      Para além da Kaspersky também outras já corrigiram como é o caso da Trend Micro.
      Já as outras soluções, ainda não disponibilizaram (Ex.: Norton, MalwareBytes e BitDefender) ou então não existe informações se já corrigiram ou não.
      Para quem usa o ESET ao que parece estão seguros se tiverem o Self-Defense activo, mas ainda não é totalmente conclusivo.

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.