Windows sürümleri üzerinde antivirüs programlarına zararlı kod enjekte ederek antivirüs yazılımlarının ele geçirile bildiği tespit edlidi. Bu saldırının bir 0-gün açığından yararlandığını öne sürüldü, saldırıya ise DoubleAgent adı koyuldu.
Microsoft Application Verifier'da bulunan bu açıktan yararlanarak, saldırganların zararlı bir DLL'i antivirüs programının kullandığı bir işleme enjekte edebildiği tespit edildi. DLL oluşturulduktan sonra, Windows Registry'ye ekleniyor ve saldırgan istediği işlemi ele geçirebiliyor. Bazı güvenlik yazılımları registry anahtarlarını gizlemesine rağmen, bunu atlatmanın yolları mevcut.
0-gün açığını bulan İsrail uyruklu şirket Cybellum, aşağıdaki video'da Avira Antivirüs'ü bypass ediyor:
https://www.youtube.com/watch?v=u9pUn_iU8CE
Hangi Antivirüs Yazılımları Etkileniyor?
Malwarebytes ve AVG, bu saldırıyı engelleyen bir güncelleme yayınlayan tek güvenlik çözümleri. Comodo, bu saldırının Comodo Antivirüs üzerinde çalışmadığını öne sürmesinin üzerine, Cybellum, aşağıdaki video'yu yayınladı:
https://www.youtube.com/watch?v=WMmvJXau1k0&feature=youtu.be
Cybellum'un iddiasına göre, 0-gün açığı aşağıdaki antivirüs yazılımlarını başarılı bir şekilde atlatabiliyor:
Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal, Norton.
Gerçek Tehlike Nerede?
Bu saldırının gerçek potansiyeli bir istismar-sonrası saldırısı olmasında yatıyor. Sonuç olarak bu saldırının çalışması için zararlı yazılımın önce bilgisayar üzerinde çalıştırılması gerekiyor. Burada riskte olan, bireysel kullanıcılardan çok kurum ve şirketler. Normal şartlar altında zararlı yazılımın bilgisayara bulaşması birçok saldırının gerçekleşmesine izin verirken birçok sefer de saldırganın ciddi bir zarar vermesi için yeterli olmayabiliyor.
Bu açığın özelliği ise birçok yerde anlatıldığının aksine, antivirüs yazılımlarını kendilerine karşı kullanması veya antivirüs yazılımlarını atlatabiliyor olması değil. Herhangi bir işleme sıçrayabildiği için, başarılı bir şekilde yetki yükseltebiliyor olması.
Ne Yapmalı?
Cybellum, Antivirüs firmalarına 90 gün gibi bir süre tanımasına rağmen, saldırganlar bu açıktan yararlanmak için şirketin saldırı kodunu ve yöntemlerini açıklamasını beklemeyecektir. Şimdiden birçok kişi bu açığın nasıl istismar edilebileceği konusunda araştırmalar yapmaya başlamış bulunmakta.
Reklam yapmak istemiyorum ama danışman olarak, işim kurum ve şirketlerin güvenliğini sağlamak. Bu yüzden, en azından şimdilik bu saldırıyı durdurduğu bilinen AVG veya Malwarebytes çözümlerinin kullanılması sağlıklı olacaktır.
