不可修补的“DoubleAgent”攻击可以劫持所有Windows版本，甚至杀毒软件！ - 网安

新的注入代码技术适用于所有版本的微软Windows操作系统，从Windows XP到最新版本的Windows 10。

更糟的是什么？DoubleAgent利用Windows的一个15年未经记录的合法功能“应用程序验证程序”，该功能无法修补。

Application Verifier是一种运行时验证工具，它将DLL（动态链接库）加载到进程中进行测试，允许开发人员快速检测和修复应用程序中的编程错误。

无法修补的Microsoft Application Verifier漏洞

该安全漏洞存在于该应用程序验证工具处理DLL的方式中。研究人员称，作为该过程的一部分，DLL被绑定到Windows注册表项中的目标进程，但攻击者可以用恶意DLL替换真正的DLL。

只需创建一个与他想要劫持的应用程序同名的Windows注册表项，攻击者就可以提供他自己的自定义验证程序DLL，并将其注入任何应用程序的合法进程中。

一旦注入自定义DLL，攻击者就可以完全控制系统并执行恶意操作，例如安装后门和持久性恶意软件，劫持任何现有受信任进程的权限，甚至劫持其他用户的会话。

Cybellum的研究人员说，这种攻击是如何起作用的：

“DoubleAgent使攻击者能够将任何DLL注入任何进程。代码注入发生在受害者进程启动的极早期，使攻击者完全控制进程，而进程无法保护自己。”

利用双代理攻击全面控制反病毒

为了演示DoubleAgent攻击，该团队利用其技术劫持了反病毒应用程序，并将其转化为恶意软件。反病毒应用程序是防止任何恶意软件运行的系统的主要防御。

该团队能够利用DoubleAgent攻击破坏反病毒应用程序，并让安全软件充当磁盘加密勒索软件。

该攻击适用于从Windows XP到Windows 10的所有Windows操作系统版本，很难阻止，因为恶意代码可以在系统重新启动后重新注入目标合法进程–；多亏了持久的注册表项。

研究人员表示，目前市场上的大多数安全产品都容易受到双重代理攻击。以下是受影响的安全产品列表：

Avast（CVE-2017-5567）
平均值（CVE-2017-5566）
阿维拉（CVE-2017-6417）
Bitdefender（CVE-2017-6186）
趋势科技（CVE-2017-5565）
舒适的
ESET
芬杀客
卡巴斯基
马尔瓦利字节
麦克菲
熊猫
极晓防毒
诺顿

在劫持杀毒软件后，攻击者还可以使用DoubleAgent攻击禁用安全产品，使其对恶意软件和网络攻击视而不见，将安全产品用作代理，对本地计算机或网络发起攻击，提高所有恶意代码的用户权限级别，隐藏恶意流量或过滤数据，或损坏操作系统或导致拒绝服务。

注：Cybellum的研究人员只关注反病毒程序，尽管DoubleAgent攻击可以适用于任何应用程序，甚至Windows操作系统本身。

许多抗病毒药物即使在经过90天的负责任的披露后仍然没有得到修补

Cybellum表示，该公司已在90多天前向所有受影响的反病毒供应商报告了DoubleAgent网络攻击事件。

Cybellum的研究人员一直在与一些反病毒公司合作解决这个问题，但到目前为止，只有Malwarebytes和AVG发布了一个补丁，而Trend Micro也计划很快发布一个。

因此，如果你使用上述三款应用中的任何一款，强烈建议你尽快更新。

作为一种缓解措施，研究人员指出，对于防病毒供应商来说，最简单的修复方法是从应用程序验证程序切换到一种称为受保护进程的较新体系结构。

Protected processes mechanism protects anti-malware services against such attacks by not allowing other apps from injecting unsigned code, but this mechanism has so far been implemented only in Windows Defender, which was introduced by Microsoft in Windows 8.1.

Cybellum还提供了DoubleAgent攻击的视频演示，展示了他们如何将一个防病毒应用程序变成一个勒索软件，对文件进行加密，直到你付清费用。