Un team di ricercatori israeliano chiamata Cybellum ha scoperto una vulnerabilità zero-day che permette, tramite lo sfruttamento dell’applicazione Application Verifier, di iniettare del codice maligno in qualsiasi applicazione in esecuzione nel sistema, potendo quindi prendere il controllo totale della macchina.
I sistemi vulnerabili sono tutti: da Windows XP a Windows 10, sia architetture a 32 che 64 bit.
Application Verifier è uno strumento che consente, tramite il caricamento di alcune DLL nel processo da verificare, di analizzare e trovare eventuali errori di programmazione, molto utile per sviluppatori e simili. Lo strumento è presente di default nei sistemi Windows.
Tramite questa tecnica un eventuale attaccante potrebbe:
- iniettare codice maligno in un antivirus, potendolo trasformare in un malware (come da video)
- installare malware, trojan, backdoor vo qualsiasi altro tipo di virus
- iniettare codice maligno in processi dai privilegi elevati, potendo quindi eseguire operazioni come cifratura (ransomware), furto di dati ecc
- veicolare l’infezione nella rete locale
I software antivirus vulnerabili sono:
Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton
Windows Defender è protetto da questo tipo di attacco, in quanto utilizza (per ora, l’unico) una protezione specifica introdotta da Microsoft proprio per gli anti-virus: ovvero una protezione di sicurezza che consente il caricamento solo di codice attendibile e firmato digitalmente, oltre a protezioni contro l’iniezione di codice dannoso.