Güvenlik araçlarının tehlikeye dönüşümü
Cybellum’dan güvenlik araştırmacıları siber saldırganların bilgisayarınızı ele geçirmek için kullanabilecekleri yeni bir teknik keşfettiler. DoubleAgent olarak adlandırılan zero-day (yeni keşfedilen) saldırısı, geliştiricilerin uygulamalarındaki açıkları tespit edip onarmada kullandıkları ‘Microsoft Uygulama Doğrulayıcısı’ aracını istismar ederek kötü yönde kullanıyor. Geliştiriciler uygulamalarını test etmek için bir DLL dosyasını uygulamalarına yüklemek zorundadırlar. Cybellum’un araştırmacıları hackerların bu aracı kullanarak Microsoft’un sunduğu DLL dosyaları yerine kendi DLL dosyalarını enjekte edebileceklerini buldular. Ekip bu tekniğin antivirüs uygulamalarının ele geçirilmek suretiyle zararlı yazılıma dönüştürülebileceklerini ispat ettiler. Bozulan bu uygulama daha sonra Windows XP’den Windows 10’a kadar bütün Windows versiyonlarını çalıştıran bilgisayarların kontrolünü ele geçirmede kullanılabiliyor.
Araştırmacılar, aşağıdaki firmaları, antivirüs uygulamalarının bu tekniğe karşı hassas olduğu konusunda bilgilendirdiler :
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
O tarihten bu yana bu firmalarla birlikte çalışıyorlar fakat yalnızca Malwarebytes ve AVG söz konusu açık için yama geliştirdi. Trend-Micro da yakında bir yama yayınlamayı planlıyor. Eğer bu üç antivirüsten birini kullanıyorsanız, olabildiğince yakın bir tarihte update etmeniz faydanıza olacaktır. Not olarak belirtelim: Cybellum çalışmalarını yalnızca antivirüs programları üzerinde yoğunlaştırdı. Fakat bu teknik Windows işletim sisteminin kendisi de dahil olmak üzere her uygulama ile birlikte kullanılabiliyor.
DoubleAgent’ın ne yapabileceğini daha iyi anlamak için aşağıdaki videoyu izlemelisiniz. Bu video DoubleAgent’ın bir antivirüs uygulamasını, dosyaları şifreleyerek sizi fidye ödemeye zorlayan bir ‘fidye yazılımı’na dönüştürmesini gösteriyor.