Zero-Day Exploit DoubleAgent

DoubleAgent: Zero-Day Code Injection and Persistence Technique

Pesquisadores de segurança da Cybellum revelaram alguns detalhes do exploit DoubleAgent. Este exploit 0-day pode ser usado para tomar o controle completo de softwares antivírus.

A técnica por trás dele pode ser utilizada para tomar o controle de praticamente qualquer software, mas o foco do exploit são os softwares antivírus.

O ataque funciona explorando a ferramenta Microsoft Application Verifier, que vem instalada no Windows. É possível substituir a ferramenta com um verificador personalizado que poderá então ser utilizado para injetar códigos maliciosos no software-alvo.

Diversos software antivírus bem conhecidos são vulneráveis ao exploit DoubleAgent.

De acordo com a Cybellum, o ataque começa quando o atacante injeta o código no antivírus explorando uma nova vulnerabilidade 0-day. Depois que o código for injetado, o atacante poderá assumir o controle completo do antivírus.

A empresa batizou o exploit com o nome DoubleAgent porque ele faz com que seu agente de segurança (o antivírus) passe a ser um agente malicioso, dando ao usuário a ilusão de segurança enquanto o ataca.

Detalhes completos sobre como o exploit funciona podem ser encontrados no blog da Cybellum. Ele pode ser utilizado em diversas versões do Windows – do Windows XP ao Windows 10 – e o uso da técnica com código persistente pode permitir que o código malicioso injetado permaneça no sistema mesmo após a reinicialização.

A empresa afirma que a Microsoft já oferece as ferramentas necessárias para que as desenvolvedoras de antivírus implementem proteções contra este tipo de ataque, mas muitas não fizeram isso.

Vídeo abaixo mostra o exploit DoubleAgent em ação: