Peneliti keamanan telah menemukan bahwa penyerang dapat menggunakan alat Verifikasi Aplikasi Microsoft untuk mengambil alih berbagai produk antivirus. Perusahaan keamanan yang berbasis di Israel Cybellum mengklaim bahwa metode serangan baru yang dijuluki DoubleAgent mengambil keuntungan dari alat Windows yang diciptakan untuk mencegah serangan virus - termasuk McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo, dan ESET - dan minta mereka bertindak sebagai malware.

Cybellum mengatakan serangan DoubleAgent juga mampu membahayakan produk antivirus lainnya. Metode ini bekerja dengan memanipulasi Microsoft Application Verifier, sistem verifikasi runtime yang berfungsi untuk mendeteksi bug dan meningkatkan keamanan program Windows pihak ketiga. Alat ini disertakan dalam Windows XP hingga Windows 10.

Cara kerja DoubleAgent

Cybellum menjelaskan cara kerja DoubleAgent:

Peneliti kami menemukan kemampuan Aplikasi Verifier yang tidak terdokumentasi yang memberikan kemampuan penyerang untuk mengganti verifier standar dengan verifikasinya sendiri. Penyerang dapat menggunakan kemampuan ini untuk menyuntikkan verifikasi kustom ke dalam aplikasi apa pun. Setelah verifikasi khusus disuntikkan, penyerang sekarang memiliki kontrol penuh atas aplikasi. Aplikasi Verifier dibuat untuk memperkuat keamanan aplikasi dengan menemukan dan memperbaiki bug, dan ironisnya DoubleAgent menggunakan fitur ini untuk melakukan operasi berbahaya.

Masalahnya bukan terletak pada Windows melainkan pada vendor keamanan yang menawarkan produk antivirus. Cybellum mengklaim DoubleAgent dapat digunakan untuk menyerang organisasi yang menggunakan program antivirus yang rentan. Malwarebytes, AVG, dan Trend Micro adalah beberapa vendor yang memperbaiki masalah untuk produk masing-masing. Windows Defender tampaknya menjadi satu-satunya produk antivirus yang kebal terhadap DoubleAgent karena penggunaan mekanisme Windows yang disebut Proses Terlindungi. Mekanisme ini mengamankan layanan anti-malware yang berjalan dalam mode pengguna.

Mitigasi

Microsoft menawarkan Proses yang Dilindungi sebagai cara untuk memungkinkan pemuatan kode yang tepercaya dan ditandatangani. Oleh karena itu, penyerang tidak dapat menggunakan DoubleAgent melawan antivirus walaupun penyerang menemukan teknik zero-day baru sebagai kodenya. Kode serangan proof-of-concept sekarang tersedia di GitHub, milik Cybellum.