image

Malware kan Windows-feature gebruiken om anti-virus te kapen

woensdag 22 maart 2017, 11:37 door Redactie, 6 reacties

Onderzoekers hebben een nieuwe aanval uitgewerkt waardoor malware via een 15 jaar oude Windows-feature anti-virussoftware kan infecteren en overnemen. Via de feature kan malware kwaadaardige code in andere applicaties laden. Dit is mogelijk via de Microsoft Application Verifier.

Deze tool laat ontwikkelaars in runtime bugs in applicaties vinden en verhelpen. Hiervoor laadt de tool een dll-bestand binnen de applicatie die wordt gecontroleerd. Onderzoekers van beveiligingsbedrijf Cybellum ontdekten een ongedocumenteerde mogelijkheid van de Application Verifier waardoor aanvallers de standaard met Windows meegeleverde verifier kunnen vervangen door hun eigen versie. Op deze manier kan de aanvaller zijn dll-bestanden in elke willekeurige applicatie injecteren. Zodra het dll-bestand is geïnjecteerd heeft de aanvaller volledige controle over het bestand.

"Application Verifier was ontwikkeld om door het vinden en verhelpen van bugs de veiligheid van applicaties te versterken. Ironisch genoeg gebruikt deze aanval deze feature om kwaadaardige operaties uit te voeren", aldus Cybellum. De anti-virussoftware van verschillende aanbieders zoals Avast, AVG, Bitdefender, Kaspersky en McAfee zijn kwetsbaar. De Application Verifier wordt sinds Winndows XP met Windows meegeleverd.

Om de kwetsbaarheid uit te buiten moet een aanvaller er eerst in zien te slagen om kwaadaardige code op het systeem uit te voeren. Vervolgens kan de anti-virussoftware worden gebruikt voor het uitvoeren van kwaadaardige acties, waaronder het versleutelen van bestanden, formatteren van de harde schijf of het installeren van een backdoor. Volgens het beveiligingsbedrijf kan Microsoft de feature niet patchen, maar zouden verschillende anti-virusbedrijven inmiddels aan een update werken om met het probleem om te gaan. Hieronder een demonstratie van de aanval.

Image

Reacties (6)
22-03-2017, 14:48 door Anoniem
Windows is waardeloos. Gebruik toch linux of mac os.

Micro$oft kan niks goed maken.

Stelletje amateurs.

Googlle software is zelf veel veiliger.
22-03-2017, 16:36 door [Account Verwijderd]
[Verwijderd]
22-03-2017, 17:34 door karma4
Er moet eerst malware draaien. Die haalt dan de Anti4us van derder partijen onderuit.
Ok, als je root hebt dan kun je van alle makware op een linux systeem zetten.
Het zijn beide typische redeneringen die de zelfde fout bevatten.
22-03-2017, 22:14 door Anoniem
Door Anoniem: Micro$oft kan niks goed maken.
Stelletje amateurs. .
Dit soort verbazend onvermogen blijkt vaak verborgen te zitten in de bedrijfscultuur. Die weer goeddeels gevormd wordt door de grote baas.

Door Rinjani:
Nou, nou! Ze hebben wel een hele mooie research afdeling [1] waar indrukwekkende dingen uit komen!
Lang niet alles wat ze daar verzinnen is ook werkelijk origineel. Het heeft vooral te-generieke namen met als doel alle concurrentie weg te duwen uit de gedachten van de redmondaanhanger, maar is meestal vooral slecht afgekeken zonder bronvermelding, zeggens gejat.

En je weet vrij zeker dat wat het ook is en hoe mooi het ook lijkt, het altijd slecht gaat samenspelen met al het andere wat je al hebt, vooral als het van een andere fabrikant komt.

Door karma4: Er moet eerst malware draaien. Die haalt dan de Anti4us van derder partijen onderuit.
Ok, als je root hebt dan kun je van alle makware op een linux systeem zetten.
Het zijn beide typische redeneringen die de zelfde fout bevatten.
"De windows-patserslee heeft een zwabberende achteras, maar daar heb je alleen last van als er toevallig blaadjes op de wielen zitten.
Als je van de linuxmobiel de remleidingen doorknipt dan remt'ie niet meer.
Het zijn beide typische redeneringen die dezelfde fout bevatten."

Op het abstracte niveau van "er is iets mis", wellicht.
23-03-2017, 11:46 door Anoniem
Het is gewoon tijd om te stoppen met windows.

Iedereen overstappen op gnu/linux.

De wereld zal beter zijn en minder kwetsbaarheden.

Stop met alle closed source software.
23-03-2017, 17:34 door Anoniem
Door Anoniem: Windows is waardeloos. Gebruik toch linux of mac os.

Micro$oft kan niks goed maken.

Stelletje amateurs.

Googlle software is zelf veel veiliger.

Ah, fijn, zo'n onderbouwde schreeuw om aandacht...

Als je een beetje gestudeerd had op het verhaal had je kunnen zien dat Defender (en andere anti-malware die als Protected Process draait) niet vatbaar is voor dit verhaal.

Jammer he, die amateurs hebben het gewoon goed gedaan...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.