Assine por 19,74€ - Apoie o jornalismo independente

790kWh poupados com a

A opção Dark Mode permite-lhe poupar até 30% de bateria.

Reduza a sua pegada ecológica.
Saiba mais

O seu antivírus pode ser forçado a tornar-se um agente duplo

Este artigo tem mais de 5 anos

Foi descoberta uma falha que permite utilizar o sistema de segurança instalado no Windows para atacar o computador. O "DoubleAgent" aproveita-se do próprio sistema para infetar o computador.

Miguel Videira Rodrigues

Texto

24 mar. 2017, 17:45

Um estudo conduzido pelo Cybellum, empresa israelita de cibersegurança, detetou um problema apelidado de “ataque DoubleAgent”. Este tipo de ataque aproveita-se do Microsoft Application Verifier – programa de raiz utilizado para fortalecer a segurança em aplicações de terceiros – para inserir códigos maliciosos em programas. Este método pode ser utilizado em qualquer programa, mas o maior potencial é visto nos antivírus que podem funcionar como agentes duplos.

“Instalamos um antivírus para nos protegermos mas, na verdade, podemos estar é a expor-nos a um novo ataque no nosso computador”, explica Slava Bronfman, presidente executivo da Cybellum, à revista Wired. “Normalmente, os hackers tentam evitar os antivírus” esclarece Slava, “agora, em vez de fugirem deles podem ataca-los diretamente. Depois de o conseguirem controlar, nem precisam de o desinstalar, ele pode continuar a correr discretamente” enquanto o ataque é feito através desta nova entrada no sistema.

Como o código malicioso é implementado através de um sistema de confiança do sistema, torna-se algo persistente que nem mesmo reiniciando o computador se resolve o problema. Uma vez que o “ataque DoubleAgent” é capaz de controlar o antivírus, pode ordenar que o programa que nos devia estar a proteger execute qualquer tipo de tarefa maliciosa sem que o sistema estranhe este comportamento.

Michael Engstler, diretor de tecnologia da Cybellum, conta à Wired que, depois de descobrirem este ataque, tentaram “entender qual o seu impacto e quais as suas limitações mas rápidamente percebemos que não existem limitações”, acrescentando que “pode ser utilizado para executar qualquer processo”.

A investigação detetou vulnerabilidades nos seguintes antivírus:

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Ao aceder ao antivírus, o DoubleAgent pode transformar o programa num malware, alterar o comportamento do antivírus mudando as listas de permissões, aproveitar-se da confiança depositada pelo utilizador no antivírus para o fazer correr operações que não deveriam ser permitidas, recorrer ao controlo total que o programa de segurança pode ter sobre o computador para apagar os dados da máquina ou encriptar o sistema por completo ou mesmo para impedir qualquer aplicação normal de correr corretamente.

Ao que a Wired conseguiu apurar, apenas a Malwarebytes, a AVG e a Trend Micro lançaram uma atualização para combater o problema. Um grande problema com este método é o facto de o Application Verifier estar incluído de origem em computadores Windows deste a versão XP.

Após a Wired ter publicado o artigo sobre o estudo da Cybellum, a Kaspersky Lab e a Avast terão entrado em contacto para informarem que tinham lançado uma correção contra o problema. A Comodo garante que a proteção pré-definida dos seus produtos já negam este tipo de acessos. A Symantec garante que os produtos Norton Security não são afetados pelo ataque Double Agent masque, mesmo assim, desenvolveram e acrescentaram proteções de deteção e bloqueio extra.

A Microsoft lançou, há três anos, uma arquitetura de segurança chamada Protected Processes que consegue proteger os utilizadores do DoubleAgent, mas esta correção só funciona no programa próprio da Microsoft, o Windows Defender.