Um estudo conduzido pelo Cybellum, empresa israelita de cibersegurança, detetou um problema apelidado de “ataque DoubleAgent”. Este tipo de ataque aproveita-se do Microsoft Application Verifier – programa de raiz utilizado para fortalecer a segurança em aplicações de terceiros – para inserir códigos maliciosos em programas. Este método pode ser utilizado em qualquer programa, mas o maior potencial é visto nos antivírus que podem funcionar como agentes duplos.
“Instalamos um antivírus para nos protegermos mas, na verdade, podemos estar é a expor-nos a um novo ataque no nosso computador”, explica Slava Bronfman, presidente executivo da Cybellum, à revista Wired. “Normalmente, os hackers tentam evitar os antivírus” esclarece Slava, “agora, em vez de fugirem deles podem ataca-los diretamente. Depois de o conseguirem controlar, nem precisam de o desinstalar, ele pode continuar a correr discretamente” enquanto o ataque é feito através desta nova entrada no sistema.
Como o código malicioso é implementado através de um sistema de confiança do sistema, torna-se algo persistente que nem mesmo reiniciando o computador se resolve o problema. Uma vez que o “ataque DoubleAgent” é capaz de controlar o antivírus, pode ordenar que o programa que nos devia estar a proteger execute qualquer tipo de tarefa maliciosa sem que o sistema estranhe este comportamento.
Michael Engstler, diretor de tecnologia da Cybellum, conta à Wired que, depois de descobrirem este ataque, tentaram “entender qual o seu impacto e quais as suas limitações mas rápidamente percebemos que não existem limitações”, acrescentando que “pode ser utilizado para executar qualquer processo”.
A investigação detetou vulnerabilidades nos seguintes antivírus:
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
Ao aceder ao antivírus, o DoubleAgent pode transformar o programa num malware, alterar o comportamento do antivírus mudando as listas de permissões, aproveitar-se da confiança depositada pelo utilizador no antivírus para o fazer correr operações que não deveriam ser permitidas, recorrer ao controlo total que o programa de segurança pode ter sobre o computador para apagar os dados da máquina ou encriptar o sistema por completo ou mesmo para impedir qualquer aplicação normal de correr corretamente.
Ao que a Wired conseguiu apurar, apenas a Malwarebytes, a AVG e a Trend Micro lançaram uma atualização para combater o problema. Um grande problema com este método é o facto de o Application Verifier estar incluído de origem em computadores Windows deste a versão XP.
Após a Wired ter publicado o artigo sobre o estudo da Cybellum, a Kaspersky Lab e a Avast terão entrado em contacto para informarem que tinham lançado uma correção contra o problema. A Comodo garante que a proteção pré-definida dos seus produtos já negam este tipo de acessos. A Symantec garante que os produtos Norton Security não são afetados pelo ataque Double Agent masque, mesmo assim, desenvolveram e acrescentaram proteções de deteção e bloqueio extra.
A Microsoft lançou, há três anos, uma arquitetura de segurança chamada Protected Processes que consegue proteger os utilizadores do DoubleAgent, mas esta correção só funciona no programa próprio da Microsoft, o Windows Defender.
O bê-á-bá da segurança informática (e isto não é só para infoexcluídos)