Tecnologia

Ataque DoubleAgent pode hackear todas as versões do Windows

Escrito por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Follow:
DoubleAgent
Uma equipe de pesquisadores da empresa de segurança Cybellum, uma empresa israelense de prevenção de Zero-Day (Dia Zero), descobriu uma nova vulnerabilidade no Windows que poderia permitir que hackers tomassem o controle total de seu computador.
 Apelidado de DoubleAgent, a técnica funciona em todas as versões dos sistemas Windows, a partir do Windows XP.
Sabe o que é pior? O DoubleAgent explora um recurso legítimo não documentado de 15 anos do Windows chamado Application Verifier, que não pode ser corrigido.
O Application Verifier é uma ferramenta de verificação de tempo de execução que carrega DLLs (biblioteca de vínculo dinâmico) em processos para fins de testes, permitindo que os desenvolvedores detectem e corrigiram rapidamente erros de programação em seus aplicativos.
A vulnerabilidade reside no modo como essa ferramenta lida com as DLLs. Segundo os pesquisadores, como parte do processo, as DLLs são vinculadas aos processos de destino em uma entrada de Registros do Windows, mas os invasores podem substituir a DLL real por uma maliciosa.
Simplesmente criando uma chave de registro no Windows com o mesmo nome do aplicativo que ele quer sequestrar, um invasor pode fornecer sua própria DLL personalizada.
Uma vez que a DLL personalizada foi injetada, o invasor pode assumir o controle total do sistema e executar ações mal-intencionadas, como instalar backdoors e malwares, sequestrar as permissões de qualquer processo confiável existente ou até sequestrar as sessões de outros usuários.

]Metodologia de testes

Para demonstrar o ataque do DoubleAgent, a equipe sequestrou aplicativos antivírus usando a técnica e transformando-os em ransomwares de criptografia de disco.
Os pesquisadores disseram que a maioria dos produtos de segurança são suscetíveis aos ataques DoubleAgent. Veja a lista de produtos de segurança afetados:
  • Avast (CVE-2017-5567)
  • AVG (CVE-2017-5566)
  • Avira (CVE-2017-6417)
  • Bitdefender (CVE-2017-6186)
  • Trend Micro (CVE-2017-5565)
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • Malwarebytes
  • McAfee
  • Panda
  • Quick Heal
  • Norton
A Cybellum utilizou os programas antivírus como um exemplo da efetividade do ataque, mas o ataque DoubleAgent pode funcionar em qualquer aplicativo.
Todas as empresas responsáveis pelos antivírus citados foram notificadas do problema, mas até agora, apenas a Malwarebytes e AVG lançaram um patch de correção, enquanto a Trend-Micro planeja lançá-lo em breve.


TAGGED:
Compartilhe este artigo
Artigo anterior Dropbox Corrigir notificação do Dropbox no Unity do Ubuntu 17.04
Próximo artigo Instale o Android Studio 2.1.2 no Ubuntu 16.04, Ubuntu 15.10, ubuntu 15.04 e Ubuntu 14.04 LTS Instale o Android Studio 2.1.2 no Ubuntu 16.04, Ubuntu 15.10, ubuntu 15.04 e Ubuntu 14.04 LTS

Leia também

Posts sobre o mesmo assunto