Segurança Informática

O seu antivírus pode ser forçado a tornar-se um agente duplo

Foi descoberta uma falha que permite utilizar o sistema de segurança instalado no Windows para atacar o computador. O "DoubleAgent" aproveita-se do próprio sistema para infetar o computador.

Um estudo conduzido pelo Cybellum, empresa israelita de cibersegurança, detetou um problema apelidado de “ataque DoubleAgent”. Este tipo de ataque aproveita-se do Microsoft Application Verifier – programa de raiz utilizado para fortalecer a segurança em aplicações de terceiros – para inserir códigos maliciosos em programas. Este método pode ser utilizado em qualquer programa, mas o maior potencial é visto nos antivírus que podem funcionar como agentes duplos.

“Instalamos um antivírus para nos protegermos mas, na verdade, podemos estar é a expor-nos a um novo ataque no nosso computador”, explica Slava Bronfman, presidente executivo da Cybellum, à revista Wired. “Normalmente, os hackers tentam evitar os antivírus” esclarece Slava, “agora, em vez de fugirem deles podem ataca-los diretamente. Depois de o conseguirem controlar, nem precisam de o desinstalar, ele pode continuar a correr discretamente” enquanto o ataque é feito através desta nova entrada no sistema.

Como o código malicioso é implementado através de um sistema de confiança do sistema, torna-se algo persistente que nem mesmo reiniciando o computador se resolve o problema. Uma vez que o “ataque DoubleAgent” é capaz de controlar o antivírus, pode ordenar que o programa que nos devia estar a proteger execute qualquer tipo de tarefa maliciosa sem que o sistema estranhe este comportamento.

Michael Engstler, diretor de tecnologia da Cybellum, conta à Wired que, depois de descobrirem este ataque, tentaram “entender qual o seu impacto e quais as suas limitações mas rápidamente percebemos que não existem limitações”, acrescentando que “pode ser utilizado para executar qualquer processo”.

A investigação detetou vulnerabilidades nos seguintes antivírus:

  • Avast (CVE-2017-5567)
  • AVG (CVE-2017-5566)
  • Avira (CVE-2017-6417)
  • Bitdefender (CVE-2017-6186)
  • Trend Micro (CVE-2017-5565)
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • Malwarebytes
  • McAfee
  • Panda
  • Quick Heal
  • Norton

Ao aceder ao antivírus, o DoubleAgent pode transformar o programa num malware, alterar o comportamento do antivírus mudando as listas de permissões, aproveitar-se da confiança depositada pelo utilizador no antivírus para o fazer correr operações que não deveriam ser permitidas, recorrer ao controlo total que o programa de segurança pode ter sobre o computador para apagar os dados da máquina ou encriptar o sistema por completo ou mesmo para impedir qualquer aplicação normal de correr corretamente.

Ao que a Wired conseguiu apurar, apenas a Malwarebytes, a AVG e a Trend Micro lançaram uma atualização para combater o problema. Um grande problema com este método é o facto de o Application Verifier estar incluído de origem em computadores Windows deste a versão XP.

Após a Wired ter publicado o artigo sobre o estudo da Cybellum, a Kaspersky Lab e a Avast terão entrado em contacto para informarem que tinham lançado uma correção contra o problema. A Comodo garante que a proteção pré-definida dos seus produtos já negam este tipo de acessos. A Symantec garante que os produtos Norton Security não são afetados pelo ataque Double Agent masque, mesmo assim, desenvolveram e acrescentaram proteções de deteção e bloqueio extra.

A Microsoft lançou, há três anos, uma arquitetura de segurança chamada Protected Processes que consegue proteger os utilizadores do DoubleAgent, mas esta correção só funciona no programa próprio da Microsoft, o Windows Defender.

Partilhe
Comente
Sugira
Proponha uma correção, sugira uma pista: observador@observador.pt

Só mais um passo

Ligue-se agora via

Facebook Google

Não publicamos nada no seu perfil sem a sua autorização. Ao registar-se está a aceitar os Termos e Condições e a Política de Privacidade.

E tenha acesso a

  • Comentários - Dê a sua opinião e participe nos debates
  • Alertas - Siga os tópicos, autores e programas que quer acompanhar
  • Guardados - Guarde os artigos para ler mais tarde, sincronizado com a app
  • Histórico - Lista cronológica dos artigos que leu unificada entre app e site