¿Qué hay de nuevo sobre el ataque "DoubleAgent"?

4

Una vulnerabilidad supuestamente nueva es abriéndose camino a través de la tecnología noticias en este momento. La declaraciones de fuentes originales ha descubierto una nueva vulnerabilidad de día cero que afecta a muchos motores antivirus y posiblemente todos los programas en Windows.

Sin embargo, por lo que puedo decir:

Pero ha sido reclamado como un nuevo día cero, ha habido un número de CVE asignadas, y parece estar despegando en las noticias. ¿Qué es diferente al respecto? ¿Y cómo puedo mitigarlo en mis sistemas?

    
pregunta Bob 22.03.2017 - 07:42
fuente

2 respuestas

3

Es cierto que el concepto de Application Verifier ya se conocía (aunque está mal documentado) como herramienta de verificación. El problema es que es la primera vez que vemos que los atacantes utilizan esta función como una técnica de inyección para inyectar DLL en procesos de confianza .

El nuevo concepto sobre este ataque es usar el Antivirus como un malware. El antivirus se considera una entidad de confianza en el sistema y ni siquiera un administrador debe poder inyectar una DLL en su proceso. Si lo hace, le da al atacante la oportunidad de dejar de huir del antivirus pero usar el antivirus como un vector de ataque.

Como dije, la característica está mal documentada y ningún antivirus hoy la atenúa. Por lo tanto, la combinación de esos hechos le da al atacante la capacidad de ejecutarse en cada computadora con Windows sin ser detectado y los resultados pueden ser desastrosos (comunicación C & C, fugas de datos, nuevos tipos de ransomwares, etc.)

    
respondido por el Aviv 22.03.2017 - 09:20
fuente
-1

esto es esencialmente un engaño ... hay muchas formas de inyectar código o DLL en otros procesos, si tiene privilegios de administrador completos ... todo vuelve a las Diez Leyes de Seguridad Inmutables ( enlace )

    
respondido por el Raf 22.03.2017 - 13:05
fuente

Lea otras preguntas en las etiquetas