近日,Cybellum公司揭露了一个影响广泛的0-day漏洞,该漏洞能完全控制大多数安全产品,被称为“DoubleAgent”(双面间谍)。多家知名安全厂商的产品受到了波及,包括Avast、G、Avira、Bitdefender、趋势科技、Comodo、ESET、F-Secure、卡巴斯基、Malwarebytes、McAfee、Panda、Quick Heal以及赛门铁克(Norton)。
目前仅有几家公司发布了针对该漏洞的补丁。这些安全厂商都在紧急处理这个问题,尝试修复漏洞以保护用户的安全。到目前为止,只有部分公司发布了针对DoubleAgent漏洞的补丁。这些补丁对于保护用户的安全至关重要,因此受到影响的用户应及时安装这些补丁。
此次攻击涉及到一个名为Application Verifier(应用程序检验器)的微软工具。这个工具自Windows XP时代就已存在,并且在所有Windows版本中都默认安装。它的主要功能是帮助开发人员快速找到应用程序中的微小编程错误。这个工具却成为了攻击者利用的一个漏洞,使得在所有版本的Windows系统上都可以利用这个漏洞进行攻击。
攻击者利用Application Verifier工具加载一个名为“verifier provider DLL”的文件,将其注入到目标应用程序的运行测试中。一旦这个文件被加载,它就会被添加到Windows注册表中,作为指定进程的提供程序DLL。然后,Windows会自动将该DLL注入到所有进程中。
据Cybellum公司介绍,由于Microsoft Application Verifier的工作机制,大量恶意软件能够通过高权限执行。攻击者可以通过注册一个恶意DLL来注入到杀毒软件或其他终端安全产品中,并劫持代理。部分安全产品试图保护其相关的注册表项,但研究人员已经找到了绕过这些保护的方法。
被称为“DoubleAgent”的攻击在所有Windows版本中都有效,而且它建立在一个合法工具之上,这让微软也束手无策。Cybellum公司已经在GitHub上公布了漏洞利用的细节。
受影响的安全厂商正在紧急处理这一漏洞,并呼吁用户及时安装补丁以保护自己的设备不受攻击。用户也应该保持警惕,注意网络安全,避免点击不明链接或下载未知来源的文件,以防止恶意软件的入侵。
参考来源:securityweek、cybellum以及FB小编bimeover编译,转载请注明来自Freebuf.COM。弈安传媒科技微课堂每天分享财经资讯、计算机技术知识等,如果你喜欢成长,这里是你不能错过的地方。请关注头条号及公众号弈安传媒科技,以获取更多知识和资讯。
