Aanval verandert antivirussoftware in malware

Aanval verandert antivirussoftware in malware

24-03-2017 13:21 Laatste update: 26-04-2018 22:20

Onderzoekers hebben een methode gevonden om antivirusprogramma's te veranderen in kwaadaardige software.

De onderzoekers van het Israëlische bedrijf Cybellum maken gebruik van de Microsoft Application Verifier, een tool die in veel versies van Windows zit en is bedoeld om de security van software van derden te verbeteren.

De Microsoft Application Verifier maakt het mogelijk om code in andere programma's te injecteren. Daarmee kunnen aanvallers elk programma manipuleren, maar antivirussoftware is bij uitstek geschikt voor een kwaadaardige aanpassing, omdat die software veel (systeem)rechten heeft om bestanden te scannen.

"Hackers proberen normaal gesproken zover mogelijk weg te blijven van de antivirussoftware en zich ervoor te verstoppen", verklaart Cyberbellum-CEO Slava Bronfman tegenover Wired. "Maar nu kunnen ze de antivirussoftware direct aanvallen."

DoubleAgent-aanval

Als hackers het antivirusprogramma eenmaal controleren, kunnen ze de software manipuleren om allerhande aanvallen uit te voeren. Volgens de onderzoekers bestaat er geen enkele beperking voor wat virusmakers op deze manier kunnen doen.

De onderzoekers hebben de ontwikkelaars van 14 kwetsbare antivirusprogramma's op de hoogte gesteld en daarna drie maanden gewacht voor ze de kwetsbaarheid openbaar maakten. Tot nu toe hebben pas drie security-bedrijven (Malwarebytes, AVG en Trend Micro) een patch uitgebracht. Dat betekent dat Avast, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, McAfee, Panda, Quick Heal en Norton nog altijd kwetsbaar zijn voor de zogeheten DoubleAgent-aanval.

In een reactie wijst Microsoft dat de beschreven aanval alleen werkt bij een machine die al gecomprommitteerd is en alleen gevolgen heeft voor applicaties van derden die geen gebruikmaken van 'Protected Processes'.