Beveiligingsonderzoekers hebben een nieuwe vorm van malware ontdekt, die antivirussoftware inzet om een computer aan te vallen. Daarmee misbruikt de malware software die juist is bedoeld om gebruikers te beschermen.
De nieuwe malware werd ontdekt door beveiligingsonderzoekers van Cybellum. Door een techniek genaamd DoubleAgent te gebruiken, kan de antivirussoftware worden aangepast. Andere software kan op vergelijkbare wijze worden veranderd. De onderzoekers stellen dat zelfs Windows kwetsbaar is.
DoubleAgent gebruikt een kwetsbaarheid in de Microsoft Application Verifier. Deze software wordt normaal gesproken gebruikt om fouten in Windows-programma’s te ontdekken. De beveiligingsonderzoekers slaagden er echter in om hiermee software naar eigen smaak te veranderen.
Door antivirussoftware aan te passen, zou een aanvaller deze op afstand kunnen uitschakelen. Hierdoor kan er vervolgens malware worden geïnstalleerd zonder dat het slachtoffer iets doorheeft.
Omdat de overgenomen software toegang heeft tot computersystemen, zou het ook mogelijk zijn om malware diepere toegang tot het systeem te geven. Hierdoor kan de antivirussoftware een aanval bevorderen. Daarnaast kan de computer onbruikbaar worden gemaakt.
Kwetsbaar
Volgens de onderzoekers zijn virusscanners van onder andere McAfee, Kaspersky, Norton en Avast kwetsbaar voor de aanvalstechniek. Antivirusbedrijf Malwarebytes zou zijn software inmiddels hier tegen hebben beveiligd. Trend-Micro belooft binnenkort een update uit te brengen.
Softwaremakers zouden zich tegen de aanval kunnen weren door 'Protected Processes' in hun applicaties te gebruiken. Bij dit proces wordt het onmogelijk gemaakt om ongesigneerde code af te spelen binnen programma’s.
