Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Con DoubleAgent l’antivirus diventa un malware
L’attacco può modificare qualsiasi software (anche gli antivirus) per compromettere i PC Windows. Già pronte le contromisure.
Immaginate che una guardia del corpo perda la ragione e aggredisca la persona che dovrebbe proteggere. Non sarebbe una trama degna di un thriller hollywoodiano?
Stando a quanto riportato dai ricercatori di Cybellum, è esattamente quello che potrebbe succedere al vostro computer se dovesse essere vittima di un attacco con DoubleAgent.
La tecnica, come spiegano gli esperti della società di sicurezza, consente a un pirata informatico di modificare il comportamento di qualsiasi software, inclusi gli antivirus, per fargli fare quello che vuole.
L’origine della vulnerabilità è uno strumento per sviluppatori chiamato Microsoft Application Verifier, che permette di caricare una DLL all’interno di una applicazione per verificare la presenza di eventuali errori.
Come hanno scoperto i ricercatori di Cybellum, però, basta una chiave di registro per fare in modo che venga caricata una DLL diversa rispetto a quella prevista, consentendo in pratica di prendere il controllo di qualsiasi applicazione, come viene mostrato in questo video.
Secondo i ricercatori, DoubleAgent sarebbe in grado di colpire qualsiasi tipo di software, compresi numerosi antivirus tra cui Avast; AVG; Avira; Bitdefender; Trend Micro; Comodo; ESET; F-Secure; Kaspersky; Malwarebytes; McAfee; Panda; Quick Heal e Norton.
Siamo quindi di fronte a un’apocalisse per i software antivirus? Non proprio. Il report che descrive La tecnica di attacco è stato infatti inviato alle varie società di sicurezza tre mesi fa e, come hanno confermato a Security Info molte delle aziende di sicurezza che abbiamo contattato, tutte stanno implementando le contromisure necessarie per neutralizzare la minaccia.
A confermarlo per esempio è Kaspersky, che in risposta alla nostra richiesta ha specificato che grazie alla segnalazione di Cybellum, a partire dal 22 marzo (oggi) tutti i prodotti Kaspersky sono in grado di rilevare e bloccare questo tipo di attacco.
La società di sicurezza, inoltre, ci tiene a precisare che “l’attacco può essere portato solo in locale, quando la macchina sia già stata compromessa”. Insomma: per usare DoubleAGent, un pirata informatico dovrebbe prima riuscire a infettare il computer con un malware.
Commenti simili sono arrivati da G Data (che non è però tra i produttori di antivirus indicati da Cybellum) per bocca del responsabile della sicurezza Ralf Benzmüller.
“I nostri prodotti integrano già un sistema di protezione che impedisce il caricamento arbitrario di DLL” ha spiegato Benzmüller in risposta alla nostra email. “Stiamo in ogni caso valutando il problema e, se necessario, implementeremo ulteriori strumenti di rilevamento”.
Toni simili vengono usati anche da Trend Micro, che in un comunicato ufficiale ha specificato che “l’unico dei nostri prodotti vulnerabile a questo tipo di attacco è Titanium (la linea di prodotti consumer – ndr) mentre gli endpoint aziendali non sono vulnerabili”.
I ricercatori di Cybellum hanno concentrato l’attenzione sulla possibilità di attaccare i software antivirus (in questo caso si tratta di Norton) ma la tecnica funziona con qualsiasi tipo di programma.
Symantec, tirata in ballo direttamente dai ricercatori Cybellum che hanno usato il suo Norton per dimostrare come funziona l’attacco, ha rilasciato una nota ufficiale in cui spiega che è stato rilasciato un fix nella “improbabile eventualità che vengano presi di mira”.
ESET, infine, ci ha confermato che per quanto riguarda i suoi prodotti la vulnerabilità verrà risolta nel giro di poco tempo. Il portavoce dell’azienda, in ogni caso, ha sottolineato un aspetto messo in luce anche da altri esperti di sicurezza, cioè che l’uso di DoubleAgent richiede privilegi di amministratore e, di conseguenza, può essere considerato più una tecnica di offuscamento che un exploit vero e proprio.
Aggiornamento:
Ad approfondire la questione riguardante DoubleAgent è anche F-Secure, che specifica come la tecnica non sia un vero zero-day: “questo tipo di stratagemma è stato già presentato in numerose conferenze nel corso del 2015 da Alec Ionescu” spiegano dalla Finlandia.
“Attacchi di questo tipo possono sfuggire al controllo dei classici antivirus” proseguono da F-Secure “ma vengono comunque rilevati dai sistemi di Endpoint Detection and Response (EDR) come quello integrato nelle nostre soluzioni”.
Poche preoccupazioni anche per Avira, visto che dai loro test il proof of concept pubblicato da Cybellum non è in grado di alterare il funzionamento del loro antivirus.
“Riteniamo possibile che questa tecnica possa avere un limitato impatto su alcuni processi secondari e stiamo lavorando per individuare e correggere eventuali vulnerabilità di questo tipo” concludono.
Condividi l'articolo
Ricatto ad Apple: "Pagate o cancelliamo i dati di 300 milioni di iPhone"
LastPass vulnerabile ad attacchi. Password a rischio
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
