SicurezzaVirus

DoubleAgent: quando l’antimalware diventa un pericolo

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

DoubleAgent è un attacco che viola gli antimalware e li trasforma in software pericolosi

I ricercatori di Cybellum hanno identificato una nuova forma di attacco che ha la particolarità di colpire (anche) attraverso uno strumento che dovrebbe invece proteggerci: gli antimalware. Proprio per questo è stato battezzato DoubleAgent. L’attacco in realtà non è legato a vulnerabilità dei software di sicurezza in sé ma a un punto debole di Windows, che Microsoft ha già risolto da tempo ma la cui risoluzione non è stata adottata dai produttori di antimalware.

DoubleAgent sfrutta una funzione lecita presente in tutte le versioni di Windows, dalla XP fino alla 10 dei nostri giorni. Si tratta di Application Verifier, uno strumento che permette agli sviluppatori di definire librerie DLL associate a una propria applicazione. Queste librerie si caricano al lancio dell’applicazione stessa e servono – ironicamente, possiamo dire oggi – a verificare che il funzionamento dell’applicazione sia corretto.

Una vulnerabilità di questo schema di funzionamento delle applicazioni permette a un attaccante di sostituire la DLL “di verifica” con una propria, che quindi viene attivata al lancio dell’applicazione principale. In questo modo la DLL “ostile” viene considerata come un elemento lecito dell’applicazione e, se progettata opportunamente, può prendere il controllo dell’applicazione stessa.

L'interfaccia di un antimalware Norton dopo essere stato violato usando DoubleAgent
L’interfaccia di un antimalware Norton dopo essere stato violato usando DoubleAgent

Anche molti antimalware usano Application Verifier e si presentano come bersagli particolarmente attraenti per un attacco. Si tratta infatti di software che sono considerati dagli utenti affidabili per definizione e quindi qualsiasi loro comportamento, anche anomalo, non desta sospetti. Iniettando invece una propria DLL, un attaccante potrebbe rendere l’antimalware del tutto inutile bloccando le sue attività di monitoraggio. Come anche trasformare l’antimalware stesso in un software ostile.

I test di Cybellum hanno rilevato che una gran parte degli antimalware sul mercato sono vulnerabili a un attacco DoubleAgent. I ricercatori citano le versioni per Windows 10 di Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal, Norton e Trend Micro. Serve una patch, che i produttori di antimalware dovrebbero avere quasi pronta perché Cybellum li ha avvisati tre mesi fa della presenza di DoubleAgent.

Kaspersky, in verità, proprio oggi ha aggiunto a tutta la propria linea di prodotti la capacità di individuare e bloccare tutti gli effetti descritti nello scenario di questo malware e per questo raccomanda a tutti di mantenere costantemente aggiornate le soluzioni senza disabilitare la caratteristica dai propri prodotti.

Non si tratta di una patch semplicissima da sviluppare perché comporta l’abbandono di Application Verifier e l’adozione dei Protected Processes, un nuovo sistema che Microsoft ha sviluppato proprio per tutelare il funzionamento degli antimalware. Questo tipo di applicazioni può operare come processo “protetto”, in cui si può eseguire solo codice firmato digitalmente. Anche se un attaccante riuscisse a inserire del suo codice tra quello lecito, quindi, sarebbe rigettato perché non firmato.