漏洞允許黑客在任何Windows版本上劫持防病毒軟件

安全公司 Cybellum 發現了一個新的零日攻擊，使得黑客可以使用存在于所有 Windows 版本中的漏洞來控制在 Windows 系統上運行的防病毒軟件，這個零日漏洞從 Windows XP 開始存在，一直延續到最新的 Windows 10。

該公司今天發布的博客中解釋說，大多數主要的防病毒解決方案都受到此漏洞的影響，包括 Avast，AVG，Avira，Bitdefender，趨勢科技，Comodo，ESET，F-Secure，卡巴斯基，McAfee，熊貓和諾頓。

這個零日漏洞被稱為 DoubleAgent，該漏洞利用了微軟自己在 Windows 中提供的合法工具，并被命名為“Microsoft Application Verifier”（微軟應用程序驗證器），原本的目的為了幫助開發人員在應用程序中找到錯誤，該工具可以被劫持，用自定義驗證器替換標準驗證器，這使攻擊者能夠完全控制應用程序。

之后，下一步是為屬于安全軟件的進程注冊一個受損害的 DLL，從而為更多惡意活動打開門戶，例如安裝后門程序，添加排除，刪除文件或甚至以典型的勒索軟件進行攻擊，加密受害者文件。

Cybellum 表示已經通知了受影響的安全公司，但到目前為止，只有 Malwarebytes 和 AVG 發布了修復補丁。更糟糕的是，即使在用戶重新啟動系統或安裝修補程序和更新后，DoubleAgent 也具有注冊代碼的功能，從而非常難以刪除惡意軟件。通過一種新的持久化技術，DoubleAgent 繞過了 AV，NGAV 和其他反病毒解決方案，并且使攻擊者能夠在沒有時間限制的情況下執行攻擊。

來自: cnBeta