Một hình thức tấn công mới có thể biến phần mềm chống vi-rút của bạn thành phần mềm độc hại, từ Windows XP đến Windows 10.

Rate this post

Một nhóm các nhà nghiên cứu bảo mật đến từ Cybellum, Israel đã tìm thấy một lỗ hổng trong Windows có thể cho phép tin tặc chiếm toàn quyền kiểm soát máy tính của bạn.

Được đặt tên là DoubleAgent, kỹ thuật cài đặt một đoạn mã vào hệ điều hành này có thể được áp dụng trên TẤT CẢ các phiên bản Windows, từ Windows XP đến phiên bản Windows 10 mới nhất.

Để thực hiện hành vi chiếm quyền điều khiển, DoubleAgent lợi dụng một tính năng có sẵn trên Windows, đã tồn tại 15 năm có tên là Application Verifier và tệ hơn, nó là một tiện ích không thể vá lỗi. Bản thân Application Verifier là một công cụ thời gian chạy chịu trách nhiệm tải các tệp DLL (Thư viện liên kết động) vào các quy trình máy nhằm mục đích kiểm tra, cho phép các nhà phát triển nhanh chóng phát hiện và sửa lỗi lập trình trong ứng dụng của bạn.

Không thể sửa lỗi ngay tại Trình xác minh ứng dụng của Microsoft

Lỗ hổng đó nằm trong cách công cụ hữu ích này xử lý các tệp DLL. Theo các nhà nghiên cứu ở Israel, trong giai đoạn Trình xác minh ứng dụng của quá trình xử lý tệp, các tệp DLL được liên kết với các tác vụ nằm trong các mục Windows Registry – một cơ sở dữ liệu được sử dụng để lưu trữ tệp. Thông tin về các thay đổi, tùy chọn, cấu hình từ người dùng Windows và nó cũng bao gồm tất cả các thông tin liên quan đến phần cứng, phần mềm, người dùng máy tính.

Những kẻ tấn công sẽ thay thế tập tin DLL bằng một tập tin độc hại, chỉ với một thao tác đơn giản là tạo khóa Windows Registry trùng tên với ứng dụng mà chúng muốn chiếm đoạt. Tập tin độc hại đó sau khi được tải vào chương trình sẽ cung cấp cho kẻ tấn công toàn quyền kiểm soát hệ thống. Hậu quả của việc đó bạn có thể tự mình thấy từ phim hành động cho đến những vụ hack ngoài đời thực.

Theo các nhà nghiên cứu tại Cybellum, đây là cách hoạt động của phương pháp tấn công thông qua Trình xác minh ứng dụng:

DoubleAgent cho phép những kẻ tấn công có được khả năng nhập các tệp DLL độc hại vào bất kỳ quy trình máy nào. Việc chèn mã sẽ được thực hiện ngay tại giai đoạn khởi động, vì vậy kẻ tấn công sẽ có toàn quyền truy cập ngay từ đầu, không có cách nào để quá trình xử lý tự bảo vệ (bằng các phương pháp khác). các biện pháp an ninh khác)”.

Thông qua DoubleAgent, kẻ gian có thể chiếm đoạt ngay cả phần mềm chống vi-rút

Để chứng minh cách DoubleAgent tấn công người dùng thông thường, nhóm đã tiến hành tấn công thẳng vào phần mềm chống vi-rút – một rào cản đáng tin cậy đối với nhiều người dùng máy tính. Họ làm gì với nó? Biến chính phần mềm AV thành một phần mềm độc hại.

Xem một tin tặc trình bày cách DoubleAgent kiểm soát Norton Antivirus.

Thông qua DoubleAgent, họ có thể “làm hỏng” phần mềm chống vi-rút và khiến nó hoạt động giống như một ransomware có khả năng mã hóa dữ liệu (ransomware: phần mềm độc hại mã hóa thông tin trên đĩa để tin tặc có thể đòi tiền chuộc cho những thông tin bị khóa khác).

Đáng lo hơn, phương thức tấn công này hoạt động trên tất cả các phiên bản hệ điều hành Windows (từ XP đến 10 như đã nói ở trên) và rất khó ngăn chặn, vì các dòng mã độc khác có thể lại được chèn vào khi bạn khởi động lại hệ thống, bạn nhớ nhé. khóa đăng ký nó đã tạo khi nó được cài đặt.

Và đây là danh sách những phần mềm diệt virus “bất lực” trước DoubleAgent:

Avast (CVE-2017-5567)

AVG (CVE-2017-5566)

Avira (CVE-2017-6417)

Bitdefender (CVE-2017-6186)

Trend Micro (CVE-2017-5565)

Thoải mái

ESET

F-Secure

Kaspersky

Malwarebytes

McAfee

gấu trúc

Chữa lành nhanh chóng

Norton

Sau khi tấn công và chiếm quyền điều khiển phần mềm AV, những kẻ tấn công có thể tiếp tục sử dụng DoubleAgent để vô hiệu hóa các biện pháp bảo mật khác, khiến nó không thể tiếp tục chặn phần mềm độc hại hoặc các cuộc tấn công qua mạng. internet khác.

Nó cũng sử dụng chính các sản phẩm được cho là bảo vệ chúng ta để trở thành một proxy (máy chủ mạng) truyền đến các máy được liên kết khác. Với sự cho phép, tin tặc sẽ có thể truyền dữ liệu, làm hỏng hệ điều hành hoặc từ chối quyền truy cập của người dùng khác.

Trong clip trên, các nhà nghiên cứu tại Cybellum sử dụng phần mềm diệt virus làm ví dụ. DoubleAgent có khả năng tấn công bất kỳ ứng dụng nào, ngay cả chính hệ điều hành Windows. Hãy cảnh giác.

Sau 90 ngày kể từ khi được thông báo, nhiều công ty Antivirus vẫn chưa cập nhật hệ thống của họ

Cybellum nói rằng họ đã báo cáo rằng lỗ hổng này có thể bị DoubleAgent khai thác với các công ty bán sản phẩm phần mềm diệt vi-rút từ 90 ngày trước. Họ cũng hợp tác với một số công ty để viết bản vá cho các phần mềm này nhưng cho đến nay, chỉ có Malwarebytes và AVG phát hành bản cập nhật mới, Trend-Micro dự định sẽ sửa nó trong thời gian sớm nhất.

Nếu bạn hiện đang sử dụng một trong ba chương trình trên, hãy coi mình là người may mắn và cập nhật phần mềm diệt vi rút ngay lập tức. Các nhà nghiên cứu bảo mật cũng chỉ cho bạn một biện pháp “chữa cháy” tạm thời đó là thay đổi từ Trình xác minh ứng dụng sang một công cụ mới có tên là Quy trình được bảo vệ.

Hoạt động được đảm bảo của công cụ mới bảo vệ phần mềm chống phần mềm độc hại khỏi các cuộc tấn công bằng cách chặn bất kỳ ứng dụng nào cài đặt mã lạ đang chạy. Nhưng hiện tại, cơ chế này chỉ được tích hợp trong Windows Defender có sẵn trên Windows 8.1.

Tham khảo TheHackerNews

Thanh Thuy

Leave a Reply

Your email address will not be published. Required fields are marked *