Cybercriminelen kunnen anti-virusoplossingen omtoveren tot malware

  1. 22 mrt 2017
  2. 0 reacties

malware

Een nieuwe zero-day aanval maakt het mogelijk de controle over populaire anti-virusoplossingen over te nemen en deze oplossing in te zetten als malware om slachtoffers aan te vallen. De aanval wordt ook wel ‘DoubleAgent’ genoemd.

De aanval is ontdekt door Cybellum. Het beveiligingsbedrijf meldt dat DoubleAgent misbruik maakt van een 15-jaar oude kwetsbaarheid in Microsoft Application Verifier, een tool die Microsoft in alle versies van Windows gebruikt als runtime verificatietool om softwarefouten in applicaties te ontdekken en verhelpen. De kwetsbaarheid is aanwezig in alle versies van Windows vanaf Windows XP tot de meest recente versie van Windows 10.

Ongedocumenteerde feature

De Microsoft Application Verifier blijkt een ongedocumenteerde feature te bevatten die het mogelijk maakt de standaard verifier te vervangen voor een op maat gemaakte verifier. Deze feature kan door aanvallers worden misbruikt om een malafide verifier in iedere willekeurige applicatie te injecteren. Dit geeft de aanvaller de volledige controle over de getroffen applicatie.

Application Verifier is door Microsoft ontwikkeld als een tool om de applicatieveiligheid te vergroten, door softwarefouten snel op te sporen en op te lossen. Cybellum noemt het dan ook ironisch dat uitgerekend deze tool nu door DoubleAgent wordt misbruikt om malafide handelingen uit te voeren.

Kwetsbare anti-virussoftware

Het beveiligingsbedrijf waarschuwt dat deze anti-virussoftware door aanvallers kan worden omgetoverd tot malware en kan worden ingezet om malafide handelingen uit te voeren op een getroffen systeem. Cybellum merkt op dat deze handelingen bij veel gebruikers geen alarmbellen zullen laten rinkelen, aangezien zij hun anti-virussoftware vertrouwen. Ook kunnen aanvallers de werking van anti-virussoftware manipuleren en bijvoorbeeld bestanden toevoegen aan de whitelist.

Het beveiligingsbedrijf meldt dat het met behulp van de kwetsbaarheid mogelijk is de controle over te nemen over verschillende populaire anti-virusoplossingen. In ieder geval anti-virussoftware van Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky Lab, Malwarebytes, McAfee, Panda, Quick Heal en Norton is kwetsbaar voor de aanval.