Cosa c'è di nuovo nell'attacco "DoubleAgent"?

4

Una vulnerabilità apparentemente nuova è che si fa strada attraverso la tecnologia notizie adesso. Le rivendicazioni di origine originali hanno scoperto una nuova vulnerabilità zero-day che interessa molti motori antivirus e possibilmente ogni programma su Windows.

Tuttavia, per quanto posso dire:

Ma è stato rivendicato come un nuovo giorno zero, ci sono stati un numero di CVE assegnati, e sembra che stia per decollare nei notiziari. Cosa c'è di diverso? E come posso mitigarlo sui miei sistemi?

    
posta Bob 22.03.2017 - 07:42
fonte

2 risposte

3

È vero che il concetto di Application Verifier era già noto (anche se scarsamente documentato) come strumento di verifica. Il fatto è che è la prima volta che vediamo gli autori di attacchi che utilizzano questa funzione come tecnica di iniezione per iniettare le DLL in processi fidati .

Il nuovo concetto di questo attacco sta usando l'Antivirus come malware. L'antivirus è considerato un'entità fidata sul sistema e nemmeno un amministratore dovrebbe essere autorizzato a iniettare una DLL nel suo processo. In questo modo l'aggressore ha l'opportunità di smettere di scappare dall'antivirus ma utilizzare l'antivirus come vettore di attacco.

Come ho detto, la funzionalità è scarsamente documentata e nessun antivirus oggi lo mitiga. Quindi combinare questi fatti dà ad un attaccante il potere di funzionare su ogni singolo computer Windows senza essere rilevato e i risultati possono essere disastrosi (comunicazione C & C, perdite di dati, nuovi tipi di ransomware ecc.)

    
risposta data 22.03.2017 - 09:20
fonte
-1

questo è essenzialmente un falso ... ci sono molti modi per iniettare codice o DLL in altri processi, se hai i privilegi di amministratore completi ... tutto torna alle Dieci Leggi Immutabili di Sicurezza ( link )

    
risposta data 22.03.2017 - 13:05
fonte

Leggi altre domande sui tag