菜单

微软Application Verifier曝0day漏洞,影响趋势科技、卡巴斯基、赛门铁克在内的大量安全产品

2017年3月24日 - 信息安全

近日,Cybellum公司发现了一个0-day漏洞,可完全控制大多数安全产品。此漏洞称为“DoubleAgent”(双面间谍),多家安全厂商受到DoubleAgent的影响,包括Avast,AVG,Avira,Bitdefender,趋势科技,Comodo科摩多,ESET,F-Secure,卡巴斯基,Malwarebytes,McAfee,Panda,Quick Heal和赛门铁克(Norton)。

目前仅有几家公司放出针对该漏洞的补丁。

Avast (CVE-2017-5567)

AVG (CVE-2017-5566)

Avira (CVE-2017-6417)

Bitdefender (CVE-2017-6186)

趋势科技 (CVE-2017-5565)

Comodo

ESET

F-Secure

卡巴斯基

Malwarebytes

McAfee

Panda

Quick Heal

Norton

漏洞利用

此次攻击涉及到微软的非托管代码的运行验证工具——Application Verifier(应用程序检验器)。由Windows XP时代引入的Application Verifier,在所有Windows版本中都默认安装,其作用是帮助开发人员快速地在其应用程序中找到微小的编程错误,因此该漏洞在所有版本的Windows系统上都可利用。

该工具会在目标应用程序运行测试的工程中加载一个叫做“verifier provider DLL”的文件。

一旦加载完成,该DLL将作为指定进程的提供程序DLL添加到Windows注册表。 随后Windows会自动以该DLL注册名将DLL注入到所有进程中。

据Cybellum公司介绍,Microsoft Application Verifier的工作机制使得大量恶意软件能够通过高权限执行,攻击者可注册一恶意DLL来注入到杀毒软件或是其他终端安全产品,并劫持代理。部分安全产品尝试保护与其进程相关的注册表项,但是研究人员已经找到了一种方法来轻松绕过此保护。

当恶意软件劫持一款安全产品之后,攻击者就能利用它做很多事情,比如让安全产品做出如黑客行为般的恶意操作——修改白名单/黑名单或内部逻辑,下载后门,泄露数据,将恶意软件传播到其他机器上,加密/删除文件(类似于勒索软件)。

此恶意代码会在系统重启,软件升级或是安全产品再安装过程中甚至之后注入,因此这种攻击难以防范。

据称“DoubleAgent”攻击可在所有Windows版本中生效,然而,这种攻击建立在一个合法工具之上,微软也措手无策。

Cybellum公司已在GitHub上公布漏洞利用细节

研究员对Avira的控制演示

发表评论

电子邮件地址不会被公开。 必填项已用*标注