Double Agent: a falha do Windows que pode transformar um antivírus em um malware

As soluções de segurança deveriam ser a proteção que os usuários têm nas suas máquinas para lhes garantir proteção contra todos os tipos de malware. Se de forma geral conseguem desempenhar esse papel, a verdade é que podem acabar sendo usados para atacar seus próprios usuários

Uma falha recentemente descoberta, o DoubleAgent, veio colocar às claras uma vulnerabilidade que pode fazer com que os antivírus possam vir a ser controlados remotamente sendo utilizados como arma de ataque ao sistema operacional Windows.

Esta não é uma falha recente, tem ao menos 15 anos, e afeta todas as versões do Windows, desde o descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.

Que falha é explorada pelo DoubleAgent

O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.

O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, possibilitando aos programadores detectar de forma rápida erros nos seus aplicativos.

Como funciona o DoubleAgent

A vulnerabilidade está na forma como o Application Verifier trata os DLLs. De acordo com os pesquisadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.

Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.

Para provar a sua teoria, os pesquisadores conseguiram controlar um antivírus, colocando-o a criptografar arquivos como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.

Agradecemos aos amigos Yan Dago por nos trazer essa notícia na sua versão original e ao Domingos pela referência em Português do mesmo tema.

Fontes: Cybellum e pplware

6 Responses to Double Agent: a falha do Windows que pode transformar um antivírus em um malware

  1. Guto says:

    Pois bem Victor e demais, tempos atrás eu resolvi aprender o que era o OSX ou seja o sistema operacional da Apple, sem sombras de dúvidas percebe-se que quando um sistema operacional ao remover um programa deixa um monte de lixo sem remover e o outro ao fazer a remoção o programa sai inteirinho sem deixar restos ou rastros no registro ai a gente descobre o porque nos EUA usam muito mais o MAC do que o Windows, claro que tb usam o Windows lá e o preço do Mac é bem mais em conta não é essa robalheria igual aqui, mas esse fator ai e com a melhora do sistema da Apple a cada dia tornando-se mais a cara do seu consumidor e o mesmo ficando mais a par de como usá-lo fica evidente que nesse lado precisam melhorar e muito o Windows.
    Acho um absurdo a quantidade de lixo que fica no registro e em pastas ocultas do sistema Windows após remover um programa. Cada vez acumula mais até ficar bichado por completo. Já isso não ocorre no OSX.

    Antigamente era o problema da tela Azul no Windows, isso já melhoraram e muito no novo Windows 10, menos conflitos de sistema mas quanto mais eu pego computadores e servidores para a manutenção isso fica mais e mais evidente.. OSX é bem mais robusto no preservar o sistema enquanto que a Microsoft acumula lixo no registro a cada instalação nova.

  2. Felippe says:

    eu sempre tive essa opinião que nem sempre a dependência fica no antivírus e sim um conjunto do sistema operacional e o antivírus, quando eu usava o Windows xp eu achava que sempre tinha vírus na minha maquina e o problema mesmo estava no Windows

  3. José Pinheiro says:

    Caro amigo Victor,

    Veja só esta Microsoft! Além disso, o Windows 10 não consegue detectar e nem corrigir, via patches, erros aparentemente simples. Por exemplo, é frequente sumirem todos os pontos de restauração e o sistema impede de criá-los (erro 0x81000203), dentre muitos outros. Agora, essa, uma grave falha de segurança. Será que as empresas de antivírus vão solucionar o problema?

    • Victor Hugo says:

      José Pinheiro,
      A meu ver caberia à Microsoft a tarefa de encontrar uma solução para essa grave falha de segurança relacionada ao Double Agent. Mas acredito que no final das contas serão as empresas desenvolvedoras de solução de segurança que irão buscar meios para garantir a proteção de seus usuários,

      Muito obrigado pelo seu comentário e participação!

      Abraço!

      • Guto says:

        Pois bem Victor e demais, tempos atrás eu resolvi aprender o que era o OSX ou seja o sistema operacional da Apple, sem sombras de dúvidas percebe-se que quando um sistema operacional ao remover um programa deixa um monte de lixo sem remover e o outro ao fazer a remoção o programa sai inteirinho sem deixar restos ou rastros no registro ai a gente descobre o porque nos EUA usam muito mais o MAC do que o Windows, claro que tb usam o Windows lá e o preço do Mac é bem mais em conta não é essa robalheria igual aqui, mas esse fator ai e com a melhora do sistema da Apple a cada dia tornando-se mais a cara do seu consumidor e o mesmo ficando mais a par de como usá-lo fica evidente que nesse lado precisam melhorar e muito o Windows.
        Acho um absurdo a quantidade de lixo que fica no registro e em pastas ocultas do sistema Windows após remover um programa. Cada vez acumula mais até ficar bichado por completo. Já isso não ocorre no OSX.

        Antigamente era o problema da tela Azul no Windows, isso já melhoraram e muito no novo Windows 10, menos conflitos de sistema mas quanto mais eu pego computadores e servidores para a manutenção isso fica mais e mais evidente.. OSX é bem mais robusto no preservar o sistema enquanto que a Microsoft acumula lixo no registro a cada instalação nova.

      • Victor Hugo says:

        Caro Augusto,
        De fato o sistema operacional da Apple apresenta muitas vantagens em relação ao Windows, e você destacou um dos importantes diferenciais.

        Abraço!

%d blogueiros gostam disto: