Proponha uma correção, faça uma sugestão
DoubleAgent: Antivírus podem ser usados para atacar o Windows
Os antivírus deveriam ser a proteção que os utilizadores têm nas suas máquinas, para as defenderem contra-ataques e todos os tipos de malware. Se no geral conseguem ter essa função, a verdade é que afinal podem ser usados para atacar os utilizadores.
Uma falha recentemente descoberta, o DoubleAgent, veio colocar a nu uma vulnerabilidade que pode levar a que os antivírus sejam controlados remotamente e que possam atacar o Windows.
Esta não é uma falha nova, tendo pelo menos 15 anos, e afeta todas as versões do Windows, desde o velhinho e descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.
Que falha é explorada pelo DoubleAgent
O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.
O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, permitindo aos programadores detetar de forma rápida erros nas suas aplicações.
Como funciona o DoubleAgent
A vulnerabilidade está na forma como o Application Verifier trata dos DLLs. De acordo com os investigadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.
Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.
Para provar a sua teoria, os investigadores conseguiram controlar um antivírus, colocando-o a cifrar ficheiros como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.
Quais os antivírus afetados pelo DoubleAgent
Os investigadores da Cybellum avaliaram várias soluções de antivírus para determinar a existência desta falha e a lista dos AV com problemas pode ser consultada abaixo. Nos testes foram usadas as mais recentes versões disponíveis.
Lista dos antivírus afetados
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
Esta falha foi reportada aos fabricantes de antivírus e muitos não atualizaram as suas soluções em 90 dias, estando estas versões ainda vulneráveis ao DoubleAgent.
Esta é uma falha grave que, se explorada, pode levar a que o controlo de uma máquina seja passado aos atacantes. Depois de comprometido o antivírus, as possibilidades são inúmeras, passando este a funcionar como um controlo remoto.
Fonte: Cybellum
Este artigo tem mais de um ano
Loading ...
lol e os doubleagents:Facebook esses nao contam, a internet nao foi criada para servir os utilizadores mas sim os seus criadores
Doubleagents facebook como funciona isso
Entao o windows defender e um utilizador cauteloso e atento é mais que suficiente?
Nada e suficiente a nao foi construido para ser
O Avast free neste momento alem de encher o w10 de popups ainda descarrega malware intrusivo
Eu só uso o Defender, que até hoje nunca me deixou mal.
🙂 Windows Defender
Clamtk for linux..
Para alem de concordar com as respostas anteriores (moonnn e F.Santos), acrescento , foi colocado um Post aqui no blog onde se dizia ser dispensável o Anti-virus pois “Segundo o ex-desenvolve-dor da Mozilla, os antivírus interferiram com recursos de segurança ”
Pela minha experiência pessoal: faz anos que eu duvidava da “honestidade” dos anti-virus, e decidi seguir as dicas do dito Eng, e retirei o anti-virus, resultado…até hoje o Win defender tem feito o seu papel, e á BORLIX.
os sistemas hoje em dia sao seguros o suficiente, a maior falha neste momento e humana, a maior parte dos ataques actualmente requer que o utilizador execute algum tipo de codigo. os antivirus nada podem fazer quanto a isso…
Uma dúvida: o programa Malawarebytes também pode sofrer do problema de doubleagent? Digo isto porque é um programa que me recomendaram ter em coordenancia com o antivirus.
A falha em questão, que acredito não ser tanto um defeito, é que para um antivírus funcionar de forma correcta ele tem permissões ilimitadas, podendo varrer todo o computador, examinando qualquer ficheiro oculto, protegido ou não de igual forma. Pode sobrescrever, apagar, mover, fazer o que quiser. É o seu trabalho, tudo de forma automática.
Se tiverem acesso ao homebanking, e não utilizarem uma solução de segurança que as instituições de crédito considerem legítima, experimentem pedir-lhes o dinheiro que vos roubaram da vossa conta atacada que vão ver a resposta que têm!
Nao digas disparates! O que não falta, são decisoes judicias, que o provam.
Nenhum contrato de homebanking te obriga ( ou poderia obrigar) a instalar este ou aquele produto de segurança, extra-contrato, nomeadamente, em que as despesas, seriam sempre a cargo do cliente, do ponto de vista particular. Nesse caso, a própria instituição, eventualmente poderia ou teria, à partida, de incluir uma determinada solução (paga ou não) obrigatória, no pack de subscricão, instalação e acesso ao serviço. Tipo, se não aceitares essas condições, não permitiriam o acesso ao serviço.
Logo, podes funcionar com algo gratuito ou até nem ter nenhum.
Algo diferente num litígio, é apurar se foram violadas as mais elementares regras de segurança online ou não. Tipo, o cliente, clica em tudo que mexe, apõe as suas credencias em qq sitio e de qq maneira, expõe via email, telefone, redes sociais com amigos etc.. Mesmo em casos, que o cliente pretendeu nao por reaçao, mas por sua iniciativa, entrar no site do banco e foi iludido, por uma pagina fraudulenta, que ilude praticamente na perfeiçao a original, o banco sera sempre responsabilizado, por nao ter tomado as medidas necessarias e suficientes, para impedir essa utilizaçao fraudulenta. Tipo verificaçao 2 passos, os famosos micro-processadores ou vulgo “calculadoras”, que geram um código instantaneo, no exato momento etc.. Eu, já ha cerca de 10 anos. que utilizo estes aparelhos, em contas de brokers, norte-americanos.
Os bancos, tal como seguradoras, emp telecomunicaçoes, publicas etc, tem muito o vício de por default, atirar sempre para o consumidor ou cliente as responsabilidades ; depois há quem dê luta e quem desista. Até pq os precessos judicias nao sao baratos, ás vezes podem não compensar ( e e´com isso que as instituiçoes jogam), embora os centros de arbitragem e resoluçao de conflitos, hoje em dia, ja sejam mais acessiveis.
Ora ora “Anti-Obnóxios”, pelo teu comentário fica provado que não disse nenhum disparate, teve exactamente a reacção espera, menos a boa educação da tua parte.
espera=esperada
De salientar que este exploit Pelo menos no Bitdefender só afectar as versões mais antigas do Bitdefender Total Security ( Code injection vulnerability in Bitdefender Total Security 12.0 (Bitdefender Total Security 2009) (and earlier)).
Presumo que este problema esteja resolvido com o Bitdefender Total Security 2017 que é a versão 21.0.2x.xx
Portanto quem ainda não migrou para uma versão mais recente é melhor que o faça! 🙂
Esta vulnerabilidade ainda não foi corrigida no BitDefender.
Segundo um técnico de suporte no fórum da BitDefender, a Cybellum avisou-os em Novembro.
Mas até ao momento esse fix ainda não foi disponibilizado em nenhuma versão.
“While a fix is scheduled for later this year for Bitdefender solutions to prevent this, the fact that in order for the exploit be successful, it needs to be executed with administrator rights, considerably narrows the attack surface. Its actually easier to uninstall the security solution if you have administrator rights for example.”
No entanto a Kaspersky já disponibilizou o fix para todas as versões das suas soluções a partir do dia 22 de Março:
“Kaspersky Lab would like to thank Cybellum Technologies LTD for discovering and reporting the vulnerability which made a DLL Hijacking attack possible via an undocumented feature of Microsoft Application Verifier. The detection and blocking of this malicious scenario has been added to all Kaspersky Lab products from March 22, 2017.”
Para além da Kaspersky também outras já corrigiram como é o caso da Trend Micro.
Já as outras soluções, ainda não disponibilizaram (Ex.: Norton, MalwareBytes e BitDefender) ou então não existe informações se já corrigiram ou não.
Para quem usa o ESET ao que parece estão seguros se tiverem o Self-Defense activo, mas ainda não é totalmente conclusivo.