Un attacco non patchabile può prendere il controllo di qualsiasi versione di Windows

Scoperto da ricercatori Israeliani e soprannominato DoubleAgent, la nuova tecnica di iniezione di codice funziona su tutte le versione di windows da XP in poi.

La brutta notizia è che la funzione che viene utilizzata ( Application Verifier )  risiede in windows, è vecchia di 15 anni, non documentata e non può essere patchata.

Application Verifier è uno strumento di verifica in runtime che consente di caricare DLL (Dynamic Link Library) in processi a scopo di test, consentendo agli sviluppatori di rilevare e correggere gli errori di programmazione nelle loro applicazioni in modo rapido.

La vulnerabilità risiede nel modo in cui questo strumento  gestisce le  DLL. Secondo i ricercatori, come parte del processo, le DLL sono legate ai processi di destinazione in una voce del registro di Windows, ma gli aggressori possono sostituire la DLL reale con una dannosa.Semplicemente creando una chiave di Registro di sistema di Windows con lo stesso nome dell’ applicazione che si vuole dirottare, un attaccante può fornire la propria DLL da iniettare in un processo legittimo di qualsiasi applicazione. Una volta iniettata la DLL, l’attaccante può prendere il pieno controllo del sistema ed eseguire qualsiasi operazione, come ad es. installare backdoor o malware persistenti o dirottare i processi di qualsiasi utente nel sistema.

DoubleAgent da all’attaccante la possibilità di iniettare qualsiasi DLL in qualsiasi processo. L’iniezione di codice si verifica durante l’avvio del sistema, dando all’attaccante il pieno controllo del processo e non c’è modo per il processo di proteggersi

Come dimostrazione i ricercatori hanno dirottato le stesse applicazioni Antivirus, che dovrebbero per antonomasia essere i baluardi della sicurezza nei nostri sistemi, trasformandoli in malware e in ransomare. Lo stesso antivirus può essere trasformato in un server proxy in grado di lanciare attacchi in rete.

L’unica soluzione è quella di non utilizzare più in vecchio Application Verifier e passare ad un architettura più recente denominata Protected Processes, che non consente agli attacker di iniettare codice malevolo.

Ad oggi – 25 Marzo 2017 – solo Malwarebytes e AVG sono passati a questo tipo di architettura, tutti gli altri ci stanno ancora lavorando….

Alessandro Giacani

Alessandro Giacani

CEO @ Nukecommerce ltd, Full Stack Developer.
Scovo problemi complicati – fornisco soluzioni semplici.
Chatta con me question_answer