Cosa c'è di nuovo nell'attacco "DoubleAgent"?

Question

Cosa c'è di nuovo nell'attacco "DoubleAgent"?

#1 da (3 voti)
#2 da (-1 voti)

4

Una vulnerabilità apparentemente nuova è che si fa strada attraverso la tecnologia notizie adesso. Le rivendicazioni di origine originali hanno scoperto una nuova vulnerabilità zero-day che interessa molti motori antivirus e possibilmente ogni programma su Windows.

Tuttavia, per quanto posso dire:

Ciò richiede i privilegi di scrittura su HKEY_LOCAL_MACHINE , il che significa che l'utente malintenzionato deve già disporre dei privilegi di amministratore.
Questo sembra essere solo un altro metodo per l'esecuzione di DLL injection , difficilmente un nuovo concetto - specialmente se hai già privilegi di amministratore!
L'uso (ab) dei provider personalizzati di Application Verifier per l'inserimento di DLL arbitrarie non viene visualizzato essere un nuovo concetto .

Ma è stato rivendicato come un nuovo giorno zero, ci sono stati un numero di CVE assegnati, e sembra che stia per decollare nei notiziari. Cosa c'è di diverso? E come posso mitigarlo sui miei sistemi?

windows vulnerability

posta Bob 22.03.2017 - 07:42

fonte

2 risposte

Leggi altre domande sui tag windows vulnerability

Come posso rilevare attività malevole in base a modelli di richieste DNS? [chiuso] Posso rilevare un kit di strumenti del firmware come NightSkies sul mio iPhone?

score 3 · Answer 1

È vero che il concetto di Application Verifier era già noto (anche se scarsamente documentato) come strumento di verifica. Il fatto è che è la prima volta che vediamo gli autori di attacchi che utilizzano questa funzione come tecnica di iniezione per iniettare le DLL in processi fidati .

Il nuovo concetto di questo attacco sta usando l'Antivirus come malware. L'antivirus è considerato un'entità fidata sul sistema e nemmeno un amministratore dovrebbe essere autorizzato a iniettare una DLL nel suo processo. In questo modo l'aggressore ha l'opportunità di smettere di scappare dall'antivirus ma utilizzare l'antivirus come vettore di attacco.

Come ho detto, la funzionalità è scarsamente documentata e nessun antivirus oggi lo mitiga. Quindi combinare questi fatti dà ad un attaccante il potere di funzionare su ogni singolo computer Windows senza essere rilevato e i risultati possono essere disastrosi (comunicazione C & C, perdite di dati, nuovi tipi di ransomware ecc.)

score -1 · Answer 2

-1

questo è essenzialmente un falso ... ci sono molti modi per iniettare codice o DLL in altri processi, se hai i privilegi di amministratore completi ... tutto torna alle Dieci Leggi Immutabili di Sicurezza ( link )

risposta data 22.03.2017 - 13:05

fonte