A empresa de segurança Cybellum descobriu uma nova técnica que os hackers podem utilizar para conseguir tomar o controle de seu PC. O DoubleAgent, como é chamado, tira proveito de uma falha presente na Microsoft Application Verifier (uma ferramenta comumente usada por desenvolvedores para encontrar e corrigir bugs em seus programas) e transforma o próprio antivírus do sistema em um malware.
Todo o problema reside no fato de que os desenvolvedores precisam carregar uma DLL em seus aplicativos para que a ferramenta da Microsoft faça a checagem. Isso porque, segundo os desenvolvedores da Cybellum, hackers podem usar essa ferramenta para injetar suas próprias DLLs em seu computador, no lugar de usar a versão trazida pelo programa normal.
Como resultado, os cibercriminosos podem facilmente invadir um computador, transformar o antivírus em um malware e, com isso, tomar controle total do PC – ou mesmo usá-lo para encriptar seus arquivos na forma de um grande ransomware. Para entender melhor sobre o funcionamento disso, basta conferir o vídeo abaixo com a prova de conceito da empresa.
A falha, vale notar, funciona para qualquer versão do Windows a partir do Windows XP, indo até as versões mais recentes do Windows 10, e pode invadir qualquer aplicativo no seu computador. No momento, a companhia encontrou falhas na segurança dos seguintes antivírus, o que permite o DoubleAgent a entrar em ação:
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
Segundo a Cybellum, a companhia tem trabalhado com algumas dessas empresas para resolver a falha. Mas apenas a AVG e o Malwarebytes já trouxeram um patch para esse problema. Então, até lá, é bom ficar de olho se você usa um dos antivírus da lista.
Atualizado [23/03/17]
Pouco depois da publicação da matéria, a Avast entrou em contato com o TecMundo, trazendo uma declaração com relação ao caso. Segundo eles, a correção para a falha já teria sido implementada no antivírus da empresa no ano passado; além disso, visto que a técnica do DoubleAgent pede privilégios de administrador, a ameaça que isso oferece ao seu sistema por parte de hackers é pequena.
Confira a declaração, na íntegra:
"Fomos alertados pela Cybellum no ano passado por meio de nosso programa de Bug Bounty para uma possível exploração de bypass da autodefesa. Implementamos a correção naquele momento do relatório e, portanto, podemos confirmar que tanto o Avast quanto o AVG 2017, lançados no início deste ano, não são vulneráveis.
É importante notar que o exploit requer privilégios de administrador para realizar o ataque, o que é difícil para hackers conseguir. Portanto, neste contexto, consideramos a probabilidade de tal ataque ser baixa e de ser exagerada a ênfase da Cybellum sobre o risco desse exploit."
Fontes
Categorias