Los investigadores de seguridad han descubierto que los atacantes pueden usar la herramienta Verificador de aplicaciones de Microsoft para hacerse cargo de varios productos antivirus. La empresa de seguridad Cybellum, con sede en Israel, afirma que un nuevo método de ataque denominado DoubleAgent aprovecha las herramientas de Windows creadas para prevenir los ataques de virus, entre las que se incluyen McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo y ESET, para que actúen como malware.
Cybellum dice que el ataque de DoubleAgent también es capaz de comprometer otros productos antivirus. El método funciona manipulando el Microsoft Application Verifier, un sistema de verificación en tiempo de ejecución que funciona para detectar errores y aumentar la seguridad de los programas de Windows de terceros. La herramienta se incluye desde Windows XP hasta Windows 10.
Cómo funciona DoubleAgent
Cybellum explicó el funcionamiento de DoubleAgent:
Nuestros investigadores descubrieron una habilidad indocumentada del Verificador de Aplicaciones que le da a un atacante la habilidad de reemplazar al verificador estándar con su propio verificador personalizado. Un atacante puede usar esta habilidad para inyectar un verificador personalizado en cualquier aplicación. Una vez que el verificador personalizado ha sido inyectado, el atacante ahora tiene control total sobre la aplicación. Application Verifier se creó para reforzar la seguridad de las aplicaciones mediante la detección y corrección de errores, e irónicamente DoubleAgent utiliza esta función para realizar operaciones maliciosas.
El problema no está en Windows, sino en los proveedores de seguridad que ofrecen los productos antivirus. Cybellum afirma que DoubleAgent puede utilizarse para atacar a las organizaciones que utilizan los programas antivirus susceptibles. Malwarebytes, AVG y Trend Micro son algunos de los proveedores que han solucionado el problema de sus respectivos productos. Windows Defender parece ser el único producto antivirus que es inmune a DoubleAgent debido al uso de un mecanismo de Windows llamado Procesos protegidos. El mecanismo asegura los servicios antimalware que se ejecutan en modo usuario.
Mitigación
Microsoft ofrece Procesos Protegidos como una forma de permitir la carga de código firmado y confiable. Por lo tanto, los atacantes no pueden utilizar DoubleAgent contra el antivirus incluso si un atacante encuentra una nueva técnica de día cero como su código. Un código de ataque proof-of-concept ya está disponible en GitHub, cortesía de Cybellum.