Pesquisadores de segurança da empresa israelense Cybellum detectaram um novo tipo de ataque que pode transformar justamente o antivírus em um tipo de ameaça no sistema.
Batizado de DoubleAgent, o ataque explora uma falha na forma como os fabricantes de antivírus interagem com Microsoft Application Verifier para injetar DLLs no programa e assumir o controle total.
Em condições normais, o Microsoft Application Verifier é um recurso ativo desde o Windows XP desenvolvido para reforçar a segurança de aplicativos de terceiros e validar sua integridade. Entretanto, os pesquisadores da Cybellum descobriram que a maioria dos desenvolvedores implementa o suporte de forma errada, abrindo a possibilidade de que um atacante substitua a ferramenta por sua própria versão adulterada do verificador.
Eles alertam que essa brecha de segurança pode afetar qualquer programa, mas a pesquisa focou nos antivírus justamente por eles serem softwares que supostamente deveriam proteger os usuários e possuem privilégios elevados dentro do sistema. Com o comprometimento dos antivírus, toda a máquina fica exposta a instalação de malwares. Nos testes realizados, o DoubleAgent foi capaz de assumir o controle de soluções da Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal e Norton.
Ironicamente, o único antivírus testado que conseguiu resistir à abordagem foi o Windows Defender, da Microsoft. O programa não apenas não se submete ao Microsoft Application Verifier como também utiliza o recurso do Protected Processes, que funciona como um escudo a nível de kernel para aplicações, mas não é adotado por outras empresas. Malwarebytes, AVG e Trend Micro já tomaram providências para fechar a brecha de segurança e outros fabricantes estão agindo para corrigir a vulnerabilidade.
