Luca Colantuoni,

I ricercatori di Cybellum hanno scoperto una nuova tecnica che potrebbe essere utilizzata per prendere il controllo totale degli antivirus e trasformarli in malware. DoubleAgent, questo il nome scelto per il tipo di attacco, sfrutta una “funzionalità” del tool Application Verifier fornito da Microsoft agli sviluppatori. Nonostante il problema sia stata segnalato tre mesi fa, al momento solo tre software house hanno rilasciato una patch per i loro prodotti.

Application Verifier consente di individuare e risolvere bug nelle applicazioni. Gli esperti di Cybellum hanno tuttavia scoperto una funzionalità non documentata del tool che permette di iniettare una DLL modificata (non quella di Microsoft) nel processo di ogni applicazione durante la sua esecuzione. Chiaramente gli effetti più devastanti si verificano con gli antivirus, considerati (teoricamente) i software più affidabili in assoluto. L’attacco è estremamente pericoloso, in quanto funziona con tutte le versioni del sistema operativo Microsoft, da Windows XP a Windows 10, e con gli antivirus più diffusi sul mercato.

I ricercatori sono riusciti ad ottenere il controllo completo di 14 antivirus (Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal e Norton) eseguiti su Windows 10 a 64 bit. Mediante un attacco DoubleAgent è possibile eludere le protezioni del sistema operativo, modificare le whitelist/blacklist, installare backdoor, rubare dati personali dell’utente, cifrare tutti i file e causare un denial of service.

La tecnica è persistente, quindi la DLL infetta verrà nuovamente iniettata anche dopo il riavvio del computer e la reinstallazione dell’antivirus. Al momento solo AVG, Malwarebytes e Trend Micro hanno rilasciato un aggiornamento che risolve la vulnerabilità. Cybellum suggerisce alle software house di sfruttare il nuovo meccanismo “Protected Processes“, annunciato oltre tre anni fa, che impedisce di iniettare nel processo codice non firmato. Purtroppo oggi viene utilizzato solo da Windows Defender.