ウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」 | スラド セキュリティ

マジかよ。


ゼロデイ攻撃対策を提供するCybellumは22日、Windows XP以降で利用可能なコード検証ツール「Application Verifier」の仕組みを悪用してウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」の詳細を公表した(Cybellumのブログ記事[1][2]BetaNewsの記事The Registerの記事)。

Application Verifierでは、レジストリを設定することで正規のコード検証ツール以外のDLLをプロセス起動時にインジェクト可能な非公開機能が存在することが、遅くとも2011年から知られている。DoubleAgentはこの非公開機能を悪用するもので、ウイルス対策ソフトウェアに検出されずにコードをインジェクトし、常駐させることが可能となる。

Windows 8.1以降ではウイルス対策ソフトウェアのプロセスを保護する「Protected Processes」などと呼ばれる機能が提供されており、Windows Defenderはこの機能を使用しているが、サードパーティのウイルス対策ソフトウェアではほとんど使われていないという。

攻撃を成功させるにはローカルでのアクセスと管理者権限が必要となるため、影響範囲は狭いとみられるが、Cybellumでは以下のベンダーの製品でPoCを実行し、脆弱性が存在することを確認したとのこと。

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Cybellumは昨年11月に各ベンダーへ脆弱性を通知しており、最新版では既に修正されている製品もあるようだ。ESETTrend Microは最新版で修正済みとしてセキュリティアドバイザリーを公開しており、AvastKasperskyは最新版で修正済みであることをユーザーフォーラムで報告している。BleepingComputerの記事によれば、AVGとMalwarebytesも最新版で修正済みとのこと。また、Aviraはパッチを準備中とツイートしており、Bitdefenderは影響が少ないとしつつも、今後修正を行うとユーザーフォーラムに投稿している。一方、ComodoNorton(Symantec)は攻撃をブロックできると反論するコメントをユーザーフォーラムに投稿している。

情報源: ウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」 | スラド セキュリティ

有名どころは全滅やん・・・