Les chercheurs en sécurité ont découvert que les attaquants peuvent utiliser l'outil Application Verifier de Microsoft pour s'approprier divers produits antivirus. La société de sécurité israélienne Cybellum affirme qu'une nouvelle méthode d'attaque baptisée DoubleAgent tire parti des outils Windows créés pour prévenir les attaques de virus, notamment McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo et ESET - et qu’ils agissent en tant que programmes malveillants.

Cybellum indique que l'attaque DoubleAgent est également capable de compromettre d'autres produits antivirus. La méthode fonctionne en manipulant Microsoft Application Verifier, un système de vérification à l'exécution permettant de détecter les bogues et d'améliorer la sécurité des programmes Windows tiers. L'outil est inclus dans Windows XP à Windows 10.

Comment fonctionne DoubleAgent

Cybellum a expliqué le fonctionnement de DoubleAgent:

Nos chercheurs ont découvert une capacité non documentée d'Application Verifier qui donne à un attaquant la possibilité de remplacer le vérificateur standard par son propre vérificateur personnalisé. Un attaquant peut utiliser cette capacité afin d'injecter un vérificateur personnalisé dans n'importe quelle application. Une fois que le vérificateur personnalisé a été injecté, l'attaquant contrôle désormais entièrement l'application. Application Verifier a été créé dans le but de renforcer la sécurité des applications en découvrant et en corrigeant les bogues. De manière ironique, DoubleAgent utilise cette fonctionnalité pour effectuer des opérations malveillantes.

Le problème ne réside pas dans Windows, mais dans les éditeurs de sécurité qui proposent les produits antivirus. Cybellum affirme que DoubleAgent peut être utilisé pour attaquer des organisations qui utilisent les programmes antivirus sensibles. Malwarebytes, AVG et Trend Micro sont quelques-uns des fournisseurs qui ont résolu le problème pour leurs produits respectifs. Windows Defender semble être le seul produit antivirus à être immunisé contre DoubleAgent en raison de son utilisation d'un mécanisme Windows appelé Processus protégés. Le mécanisme sécurise les services anti-malware qui s'exécutent en mode utilisateur.

Atténuation

Microsoft propose des processus protégés comme moyen d'autoriser le chargement de code sécurisé et signé. Par conséquent, les attaquants ne peuvent pas utiliser DoubleAgent contre l’antivirus, même si un attaquant trouve une nouvelle technique zéro jour comme code. Un code d'attaque de validation de concept est maintenant disponible sur GitHub, avec l'aimable autorisation de Cybellum.