اكتشف الباحثون في مجال الأمن أن المهاجمين يمكنهم استخدام أداة التحقق من التطبيق من Microsoft للاستيلاء على مختلف منتجات مكافحة الفيروسات. تدعي شركة الأمن Cybellum التي تتخذ من إسرائيل مقراً لها أن طريقة هجوم جديدة يطلق عليها DoubleAgent تستفيد من أدوات Windows التي تم إنشاؤها لمنع هجمات الفيروسات - بما في ذلك McAfee و Panda و Avast و AVG و Avira و F-Secure و Kaspersky و Malwarebytes و Bitdefender و Trend Micro و Comodo و ESET - واجعلهم بمثابة برامج ضارة.

يقول Cybellum أن هجوم DoubleAgent قادر أيضًا على اختراق منتجات مكافحة الفيروسات الأخرى. تعمل هذه الطريقة من خلال التعامل مع Microsoft Application Verifier ، وهو نظام للتحقق من وقت التشغيل يعمل على اكتشاف الأخطاء وتعزيز أمان برامج Windows التابعة لجهات أخرى. يتم تضمين الأداة في نظام التشغيل Windows XP حتى Windows 10.

كيف يعمل DoubleAgent

شرح Cybellum طريقة عمل DoubleAgent:

اكتشف باحثونا قدرة غير موثقة من Application Verifier والتي تعطي للمهاجمين القدرة على استبدال المدقق القياسي بمدقق مخصص له. يمكن للمهاجم استخدام هذه القدرة من أجل حقن المدقق المخصص في أي تطبيق. بمجرد حقن المدقق المخصص ، أصبح لدى المهاجم الآن سيطرة كاملة على التطبيق. تم إنشاء Verifier للتطبيق من أجل تعزيز أمان التطبيق من خلال اكتشاف الأخطاء وإصلاحها ، ومن المفارقات أن DoubleAgent تستخدم هذه الميزة من أجل إجراء عمليات ضارة.

لا تكمن المشكلة في نظام Windows بل في شركات الأمان التي تقدم منتجات مكافحة الفيروسات. يدعي Cybellum أنه يمكن استخدام DoubleAgent لمهاجمة المنظمات التي تستخدم برامج مكافحة الفيروسات الحساسة. Malwarebytes و AVG و Trend Micro هم بعض البائعين الذين قاموا بإصلاح المشكلة لمنتجاتهم الخاصة. يبدو أن Windows Defender هو منتج الحماية من الفيروسات الوحيد الذي يتمتع بمناعة ضد DoubleAgent نظرًا لاستخدامه لآلية Windows تسمى العمليات المحمية. تقوم الآلية بتأمين خدمات مكافحة البرامج الضارة التي تعمل في وضع المستخدم.

تخفيف

تقدم Microsoft العمليات المحمية كوسيلة للسماح بتحميل رمز موثوق به وموقع. لذلك ، لا يمكن للمهاجمين استخدام DoubleAgent ضد برامج مكافحة الفيروسات حتى إذا عثر المهاجم على تقنية جديدة في اليوم صفر كرمز لها. يتوفر الآن رمز الهجوم الموثق على GitHub ، بإذن من Cybellum.