Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Mar 22, 2017 Marco Schiaffino In evidenza, News, RSS 0
Immaginate che una guardia del corpo perda la ragione e aggredisca la persona che dovrebbe proteggere. Non sarebbe una trama degna di un thriller hollywoodiano?
Stando a quanto riportato dai ricercatori di Cybellum, è esattamente quello che potrebbe succedere al vostro computer se dovesse essere vittima di un attacco con DoubleAgent.
La tecnica, come spiegano gli esperti della società di sicurezza, consente a un pirata informatico di modificare il comportamento di qualsiasi software, inclusi gli antivirus, per fargli fare quello che vuole.
L’origine della vulnerabilità è uno strumento per sviluppatori chiamato Microsoft Application Verifier, che permette di caricare una DLL all’interno di una applicazione per verificare la presenza di eventuali errori.
Come hanno scoperto i ricercatori di Cybellum, però, basta una chiave di registro per fare in modo che venga caricata una DLL diversa rispetto a quella prevista, consentendo in pratica di prendere il controllo di qualsiasi applicazione, come viene mostrato in questo video.
Secondo i ricercatori, DoubleAgent sarebbe in grado di colpire qualsiasi tipo di software, compresi numerosi antivirus tra cui Avast; AVG; Avira; Bitdefender; Trend Micro; Comodo; ESET; F-Secure; Kaspersky; Malwarebytes; McAfee; Panda; Quick Heal e Norton.
Siamo quindi di fronte a un’apocalisse per i software antivirus? Non proprio. Il report che descrive La tecnica di attacco è stato infatti inviato alle varie società di sicurezza tre mesi fa e, come hanno confermato a Security Info molte delle aziende di sicurezza che abbiamo contattato, tutte stanno implementando le contromisure necessarie per neutralizzare la minaccia.
A confermarlo per esempio è Kaspersky, che in risposta alla nostra richiesta ha specificato che grazie alla segnalazione di Cybellum, a partire dal 22 marzo (oggi) tutti i prodotti Kaspersky sono in grado di rilevare e bloccare questo tipo di attacco.
La società di sicurezza, inoltre, ci tiene a precisare che “l’attacco può essere portato solo in locale, quando la macchina sia già stata compromessa”. Insomma: per usare DoubleAGent, un pirata informatico dovrebbe prima riuscire a infettare il computer con un malware.
Commenti simili sono arrivati da G Data (che non è però tra i produttori di antivirus indicati da Cybellum) per bocca del responsabile della sicurezza Ralf Benzmüller.
“I nostri prodotti integrano già un sistema di protezione che impedisce il caricamento arbitrario di DLL” ha spiegato Benzmüller in risposta alla nostra email. “Stiamo in ogni caso valutando il problema e, se necessario, implementeremo ulteriori strumenti di rilevamento”.
Toni simili vengono usati anche da Trend Micro, che in un comunicato ufficiale ha specificato che “l’unico dei nostri prodotti vulnerabile a questo tipo di attacco è Titanium (la linea di prodotti consumer – ndr) mentre gli endpoint aziendali non sono vulnerabili”.
Symantec, tirata in ballo direttamente dai ricercatori Cybellum che hanno usato il suo Norton per dimostrare come funziona l’attacco, ha rilasciato una nota ufficiale in cui spiega che è stato rilasciato un fix nella “improbabile eventualità che vengano presi di mira”.
ESET, infine, ci ha confermato che per quanto riguarda i suoi prodotti la vulnerabilità verrà risolta nel giro di poco tempo. Il portavoce dell’azienda, in ogni caso, ha sottolineato un aspetto messo in luce anche da altri esperti di sicurezza, cioè che l’uso di DoubleAgent richiede privilegi di amministratore e, di conseguenza, può essere considerato più una tecnica di offuscamento che un exploit vero e proprio.
Aggiornamento:
Ad approfondire la questione riguardante DoubleAgent è anche F-Secure, che specifica come la tecnica non sia un vero zero-day: “questo tipo di stratagemma è stato già presentato in numerose conferenze nel corso del 2015 da Alec Ionescu” spiegano dalla Finlandia.
“Attacchi di questo tipo possono sfuggire al controllo dei classici antivirus” proseguono da F-Secure “ma vengono comunque rilevati dai sistemi di Endpoint Detection and Response (EDR) come quello integrato nelle nostre soluzioni”.
Poche preoccupazioni anche per Avira, visto che dai loro test il proof of concept pubblicato da Cybellum non è in grado di alterare il funzionamento del loro antivirus.
“Riteniamo possibile che questa tecnica possa avere un limitato impatto su alcuni processi secondari e stiamo lavorando per individuare e correggere eventuali vulnerabilità di questo tipo” concludono.
Apr 24, 2024 0
Apr 23, 2024 0
Apr 16, 2024 0
Apr 12, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...