Zero-daylek in Windows verandert je antivirus in malware
Antivirussoftware wordt doorgaans aanzien als de manier om te voorkomen dat malware op je computer binnenglipt. Beveiligingsbedrijf Cybellum heeft echter ontdekt dat cybercriminelen je antivirus relatief eenvoudig kunnen hacken en het programma in malware kunnen omtoveren. Aangezien het lijkt alsof je antivirusprogramma nog steeds correct zijn werk doet, zal de malware ongestoord zijn gang kunnen gaan.
Code injecteren
Het probleem bevindt zich in de Application Verifier van Microsoft. Deze tool bevindt zich in Windows XP tot Windows 10 en wordt gebruikt om bugs in applicaties te vinden en op te lossen. Cybellum vond echter een andere taak die door de Application Verifier kan worden uitgevoerd, maar nergens officieel gedocumenteerd staat. De tool kan gebruikt worden om de standaard verifier te wisselen met een zelfgemaakte verifier. Cybercriminelen kunnen met andere woorden hun eigen code in een programma injecteren, waarna ze de volledige controle over de software kunnen krijgen.
[related_article id=”213243″]In zijn blogpost schrijft Cybellum over het hijacken van antivirussen, maar in theorie is de hack mogelijk voor alle software die op Windows draait. Wat de kwetsbaarheid van antivirussen een stuk gevaarlijker maakt dan de lekken in andere programma’s, is dat antivirussen aanzien worden als vertrouwde software. Alle taken die door de programma’s worden uitgevoerd, worden eveneens als betrouwbaar aanzien, waardoor hackers ongestoord hun gang kunnen gaan.
Zelfs wanneer bedrijven andere beveiligingsproducten op hun netwerk gebruiken, zal de malware geen halt worden toegeroepen. De malware wordt immers aanzien als een betrouwbare antivirus en krijgt hierdoor voldoende rechten om zijn gang te gaan.
Protected Processes
De enige antivirus die niet getroffen kan worden door de hackmethode is Windows Defender. Het is immers de enige antivirus die gebruik maakt van het Windows-mechanisme Protected Processes. Dit mechanisme is speciaal ontworpen voor antivirussen en laat enkel toe dat betrouwbare code wordt geladen. Bovendien beschermt Protected Processes tegen aanvallen waarbij code wordt geïnjecteerd. Microsoft introduceerde het mechanisme in Windows 8.1, maar is voorlopig de enige aanbieder van een antivirus die het daadwerkelijk gebruikt.
De meeste anti-malwareproducten hebben een service die draait in gebruikersmodus en die wordt gebruikt om nieuwe virusdefinities en updates te downloaden. Ontwikkelaars kunnen technieken gebruiken om deze updateservices te beschermen van cyberaanvallen, maar deze zijn niet waterdicht. Microsoft ontwikkelde daarom Protected Processes, welke ervoor zorgt dat enkel vertrouwde code wordt geladen door services in gebruikersmodus.
Cybellum doet de volledige aanval uit de doeken in een blogpost. Het bedrijf zegt de aanval met de belangrijkste antivirussen en alle versies van Windows te hebben getest. Ook heeft Cybellum de aanval gerapporteerd aan de aanbieders van antivirussen. Zij werken momenteel aan een manier om de hackmethode onmogelijk te maken.
Laden ...
