Os antivírus deveriam ser a proteção que os utilizadores têm nas suas máquinas, para as defenderem contra-ataques e todos os tipos de malware. Se no geral conseguem ter essa função, a verdade é que afinal podem ser usados para atacar os utilizadores.
Uma falha recentemente descoberta, o DoubleAgent, veio colocar a nu uma vulnerabilidade que pode levar a que os antivírus sejam controlados remotamente e que possam atacar o Windows.
Esta não é uma falha nova, tendo pelo menos 15 anos, e afeta todas as versões do Windows, desde o velhinho e descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.
Que falha é explorada pelo DoubleAgent
O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.
O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, permitindo aos programadores detetar de forma rápida erros nas suas aplicações.
Como funciona o DoubleAgent
A vulnerabilidade está na forma como o Application Verifier trata dos DLLs. De acordo com os investigadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.
Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.
Para provar a sua teoria, os investigadores conseguiram controlar um antivírus, colocando-o a cifrar ficheiros como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.
Quais os antivírus afetados pelo DoubleAgent
Os investigadores da Cybellum avaliaram várias soluções de antivírus para determinar a existência desta falha e a lista dos AV com problemas pode ser consultada abaixo. Nos testes foram usadas as mais recentes versões disponíveis.
Lista dos antivírus afetados
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
Esta falha foi reportada aos fabricantes de antivírus e muitos não atualizaram as suas soluções em 90 dias, estando estas versões ainda vulneráveis ao DoubleAgent.
Esta é uma falha grave que, se explorada, pode levar a que o controlo de uma máquina seja passado aos atacantes. Depois de comprometido o antivírus, as possibilidades são inúmeras, passando este a funcionar como um controlo remoto.
Fonte: Cybellum