Los investigadores de seguridad han descubierto que los atacantes pueden usar la herramienta de verificación de aplicaciones de Microsoft para hacerse cargo de varios productos antivirus. La firma de seguridad con sede en Israel Cybellum afirma que un nuevo método de ataque denominado DoubleAgent aprovecha las herramientas de Windows creadas para prevenir ataques de virus, incluidos McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo y ESET, y haga que actúen como malware.

Cybellum dice que el ataque DoubleAgent también es capaz de comprometer otros productos antivirus. El método funciona mediante la manipulación de Microsoft Application Verifier, un sistema de verificación de tiempo de ejecución que funciona para detectar errores y aumentar la seguridad de los programas de Windows de terceros. La herramienta se incluye en Windows XP hasta Windows 10.

Cómo funciona DoubleAgent

Cybellum explicó la forma en que funciona DoubleAgent:

Nuestros investigadores descubrieron una capacidad indocumentada de Application Verifier que le da al atacante la capacidad de reemplazar el verificador estándar con su propio verificador personalizado. Un atacante puede usar esta capacidad para inyectar un verificador personalizado en cualquier aplicación. Una vez que se ha inyectado el verificador personalizado, el atacante ahora tiene control total sobre la aplicación. Application Verifier fue creado para fortalecer la seguridad de la aplicación descubriendo y reparando errores, e irónicamente DoubleAgent usa esta función para realizar operaciones maliciosas.

El problema no reside en Windows sino en los proveedores de seguridad que ofrecen los productos antivirus. Cybellum afirma que DoubleAgent puede usarse para atacar a organizaciones que usan los programas antivirus susceptibles. Malwarebytes, AVG y Trend Micro son algunos de los proveedores que solucionaron el problema de sus respectivos productos. Windows Defender parece ser el único producto antivirus que es inmune a DoubleAgent debido al uso de un mecanismo de Windows llamado Procesos protegidos. El mecanismo asegura los servicios antimalware que se ejecutan en modo de usuario.

Mitigación

Microsoft ofrece procesos protegidos como una forma de permitir la carga de código firmado y confiable. Por lo tanto, los atacantes no pueden usar DoubleAgent contra el antivirus incluso si un atacante encuentra una nueva técnica de día cero como su código. Un código de ataque de prueba de concepto ahora está disponible en GitHub, cortesía de Cybellum.