Ett nytt bevis på konceptutnyttjande som kallas DoubleAgent kan inte bara kapa Windows-antivirusprogram från tredje part utan också använda programvaran för att leverera ytterligare attacker. Även om det inte finns några bevis för att exploateringen har gjort sin väg ut i naturen ännu, de flesta av bästa antivirusprogrammet program är fortfarande helt mottagliga för det.

(Bildkredit: Varje otäck brist har nu en logotyp. Upphovsman: Cybellum)

Hela poängen med antivirusprogram är att förhindra att skadliga program äventyrar ditt system. Men vad händer när det skadliga programmet i fråga kan äventyra ditt antivirusprogram?

För tillfället är det bara AVG, Malwarebytes och Trend Micro som har patchar tillgängliga snart. Du kan också bara använda Linux eller macOS istället för Windows, även om de inte är det heltosårbar, antingen. Eller så kan du inaktivera ditt befintliga antivirusprogram från tredje part och lita på Windows Defender, även om det inte alltid håller bra mot nolldagars skadlig kod.

Denna forskning om DoubleAgent kommer från Cybellum, ett israeliskt cybersäkerhetsföretag som specialiserat sig på noll-dagars utnyttjande. Även om DoubleAgent är en artificiellt konstruerad bit av skadlig kod, är den brist som den byter på i hög grad en nolldagars sårbarhet.

Windows använder ett verktyg som heter Microsoft Application Verifier som hjälper programutvecklare att söka efter buggar i Windows-baserade program. Varje Windows-program är föremål för verifierens granskning, inklusive antivirusprogram.

Genom att skapa en falsk registernyckel och en predatorisk DLL-fil för verifieraren att läsa kunde Cybellum ta full kontroll över Norton Security-antivirusprogrammet. (Ett dynamiskt länkbibliotek, eller DLL, är ett kodförråd som kan användas av mer än en applikation. Denna attack använder den gamla "DLL-kapning"teknik för att få en applikation för att felaktigt ladda kod från en skadlig DLL.)

Cybellum lade till och med en glad liten skalldiagram och det hjälpsamma meddelandet "Du har blivit hackad!" till Norton Securitys startskärm. Verkliga hackare kommer förmodligen inte att vara så artiga.

Cybellum teoretiserar fem möjliga attackvektorer för cyberbrottslingar som använder DoubleAgent. Det första och mest uppenbara scenariot skulle vara att förvandla själva AV-programmet till skadlig kod.

En andra, mer subtil metod skulle vara att lämna antivirusprogrammet mestadels ensam, förutom att berätta det för vitlista skadlig kod som skadliga hackare vill sprida. På samma sätt skulle en tredje metod berätta för antivirusprogrammet att ignorera skadlig fjärraktivitet, såsom datautvinning och dekryptering.

De andra två metoderna är mycket mindre subtila, men lika förödande för slutanvändaren. Antivirusprogram har ofta högsta privilegier, vilket gör att de kan kryptera filer eller formatera en hårddisk utan användarens tillstånd. Som sådan kan antivirusprogram användas som ransomware.

Slutligen kan en angripare göra antivirusprogramvara flagga och blockera alla andra applikationer, vilket orsakar en denial-of-service-villkor för nästan alla program i Windows, från en webbläsare till en produktivitetsverktyg.

Det är inte svårt att se hur en attack som denna skulle kunna förstöra datorer i en företagsinställning, även om det bara var en dag eller två.

Mac-datorer är inte immuna mot sådana attacker, vilket kan dras av använder några av bästa Mac-antivirusprogram. Vi har dock aldrig hört talas om sådana saker som äger rum med bästa Android-antivirusapparna.

Norton Security pwned av DoubleAgent. Upphovsman: Cybellum
(Bildkredit: Norton Security pwned av DoubleAgent. Upphovsman: Cybellum)

Kom också ihåg att DoubleAgent kan äventyra nästan alla program i Windows, inte bara antivirusprogram. Antivirusprogram, med sina höga systembehörigheter, är bara ett snabbt och enkelt sätt att utnyttja detta nyligen avslöjade fel.

”Eftersom DoubleAgent-tekniken använder legitim operativsystemsmekanism för att injicera sin kod kan den inte lappas och denna injektionsteknik kommer att leva för evigt. Så det finns ingen uppfattning om en patch, ”noterade Cybellum-bloggen.

Att kompromissa med en användares antivirusprogram kan teoretiskt bara vara det första steget i en mycket mer invecklad attack. Microsoft har ett ramverk som kallas Skyddade processer som låter antivirusutvecklare "underteckna" kod för att förhindra sådana attacker - men tills mycket nyligen, bara Microsofts egna Windows Defender programmet använde det.

Cybellum delade sin forskning med ett antal antivirusföretag. Sårbara AV-program inkluderar de från Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky Lab, Malwarebytes, McAfee, Panda, Snabbläkning och Norton.

Blödande dator rapporterar att Malwarebytes, AVG och Trend Micro antingen har patchats eller kommer att ha en patch i en omedelbar framtid. Andra företag arbetar förhoppningsvis med korrigeringar, men det finns ingen garanti för att de håller dig säker.

Som vanligt är det bästa försvaret mot DoubleAgent att hålla ditt antivirusprogram uppdaterat och uppdaterat. Även om din AV-leverantör inte är en av de tre med en fix (nästan) klar kommer den troligen att få en uppdatering snarare än senare. Eftersom DoubleAgent ännu inte är ute i naturen har du förmodligen lite tid innan attackerna börjar på allvar - om de någonsin gör det.

  • Bästa trådlösa hemkamera
  • 15 bästa appar för integritet och säkerhet på mobilen
  • Bästa Apple-bärbara datorer