A Doubleagent miatt a Windows víruskereső rosszindulatú programként működik
Tartalomjegyzék:
Videó: Exit Wound vs Krosus [M] - Beast Mastery Hunter PoV 2024
A biztonsági kutatók azt találták, hogy a támadók a Microsoft Application Verifier eszközzel felhasználhatják a különféle vírusvédelmi termékeket. Az izraeli székhelyű Cybellum biztonsági cég azt állítja, hogy a DoubleAgent néven ismert új támadási módszer kihasználja a vírusok támadásainak megakadályozására létrehozott Windows eszközöket - beleértve a McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, és az ESET - és kérje őket, hogy rosszindulatú programként működjenek.
Cybellum szerint a DoubleAgent támadás más vírusvédelmi termékeket is veszélyeztethet. A módszer a Microsoft Application Verifier manipulációjával működik, amely egy futásidejű ellenőrző rendszer, amely felismerheti a hibákat és fokozza a harmadik féltől származó Windows programok biztonságát. Az eszköz megtalálható a Windows XP-ben a Windows 10-ig.
Hogyan működik a DoubleAgent?
A Cybellum kifejtette a DoubleAgent működését:
Kutatóink felfedezték az Application Verifier nem dokumentált képességét, amely lehetővé teszi a támadó számára, hogy a standard hitelesítőt saját egyedi hitelesítőjével cserélje ki. A támadó ezt a képességet felhasználhatja arra, hogy egyéni hitelesítőt fecskendezzen be bármely alkalmazásba. Miután az egyéni hitelesítőt befecskendezték, a támadó most teljes ellenőrzést gyakorol az alkalmazás felett. Az Alkalmazás-ellenőrzőt azzal a céllal hozták létre, hogy az alkalmazások biztonságát a hibák felfedezésével és kijavításával erősítse, és ironikus módon a DoubleAgent ezt a szolgáltatást használja rosszindulatú műveletek végrehajtására.
A probléma nem a Windowsban rejlik, hanem inkább a biztonsági szolgáltatókban, akik az antivírus termékeket kínálják. A Cybellum azt állítja, hogy a DoubleAgent felhasználható az érzékeny víruskereső programokat használó szervezetek támadására. A Malwarebytes, az AVG és a Trend Micro olyan szállítók, amelyek javították a kérdést saját termékeikkel kapcsolatban. Úgy tűnik, hogy a Windows Defender az egyetlen víruskereső termék, amely immunitással rendelkezik a DoubleAgent ellen, mivel a Védett folyamatok nevű Windows mechanizmust használja. A mechanizmus biztosítja a felhasználói módban futó rosszindulatú szoftverek elleni szolgáltatásokat.
enyhítés
A Microsoft védett folyamatokat kínál a megbízható, aláírt kódbetöltés engedélyezésének egyik módjaként. Ezért a támadók nem használhatják a DoubleAgent az antivírus ellen, még akkor sem, ha a támadó új nulla napos technikát talál a kódjaként. A koncepciót igazoló támadási kód már elérhető a GitHub-on, a Cybellum jóvoltából.
3 A cyber hétfő víruskereső a rosszindulatú programok és a vírusok megelőzésére irányul
A Cyber Monday számos érdekes víruskereső programot kínál Önnek. Olvassa el ezt az útmutatót, hogy megtudja, mi a jelenleg a legjobban telepíthető víruskereső három.
A VLC letöltő webhelye, amelyet a Microsoft a rosszindulatú programként jelölt meg
Igaz, hogy a VLC Media Player kártékony programként jelölte meg a Microsoft? Igen. Megérdemli? Egyáltalán nem. Tudja meg, miért olvassa el ...
A víruskereső tesztek megerősítik, hogy a Windows Defender 100% -ban rosszindulatú szoftvert kínál
Az AV-TESTS által áprilisban és májusban végzett kutatási tesztek megerősítették, hogy a Windows Defender az egyik legjobb biztonsági megoldás.
