Uma equipe de pesquisadores da empresa de segurança Cybellum, uma empresa israelense de prevenção de Zero-Day (Dia Zero), descobriu uma nova vulnerabilidade no Windows que poderia permitir que hackers tomassem o controle total de seu computador.
Apelidado de DoubleAgent, a técnica funciona em todas as versões dos sistemas Windows, a partir do Windows XP.
Sabe o que é pior? O DoubleAgent explora um recurso legítimo não documentado de 15 anos do Windows chamado Application Verifier, que não pode ser corrigido.
O Application Verifier é uma ferramenta de verificação de tempo de execução que carrega DLLs (biblioteca de vínculo dinâmico) em processos para fins de testes, permitindo que os desenvolvedores detectem e corrigiram rapidamente erros de programação em seus aplicativos.
A vulnerabilidade reside no modo como essa ferramenta lida com as DLLs. Segundo os pesquisadores, como parte do processo, as DLLs são vinculadas aos processos de destino em uma entrada de Registros do Windows, mas os invasores podem substituir a DLL real por uma maliciosa.
Simplesmente criando uma chave de registro no Windows com o mesmo nome do aplicativo que ele quer sequestrar, um invasor pode fornecer sua própria DLL personalizada.
Uma vez que a DLL personalizada foi injetada, o invasor pode assumir o controle total do sistema e executar ações mal-intencionadas, como instalar backdoors e malwares, sequestrar as permissões de qualquer processo confiável existente ou até sequestrar as sessões de outros usuários.
]Metodologia de testes
Para demonstrar o ataque do DoubleAgent, a equipe sequestrou aplicativos antivírus usando a técnica e transformando-os em ransomwares de criptografia de disco.
Os pesquisadores disseram que a maioria dos produtos de segurança são suscetíveis aos ataques DoubleAgent. Veja a lista de produtos de segurança afetados:
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
A Cybellum utilizou os programas antivírus como um exemplo da efetividade do ataque, mas o ataque DoubleAgent pode funcionar em qualquer aplicativo.
Todas as empresas responsáveis pelos antivírus citados foram notificadas do problema, mas até agora, apenas a Malwarebytes e AVG lançaram um patch de correção, enquanto a Trend-Micro planeja lançá-lo em breve.