¿Qué hay de nuevo sobre el ataque "DoubleAgent"?

Question

¿Qué hay de nuevo sobre el ataque "DoubleAgent"?

#1 de Aviv (3 votos)
#2 de Raf (-1 votos)

4

Una vulnerabilidad supuestamente nueva es abriéndose camino a través de la tecnología noticias en este momento. La declaraciones de fuentes originales ha descubierto una nueva vulnerabilidad de día cero que afecta a muchos motores antivirus y posiblemente todos los programas en Windows.

Sin embargo, por lo que puedo decir:

Esto requiere privilegios de escritura en HKEY_LOCAL_MACHINE , lo que significa que el atacante ya debe tener privilegios administrativos.
Esto parece ser simplemente otro método para realizar DLL inyección , apenas un nuevo concepto, ¡especialmente si ya tiene privilegios de administrador!
El uso (ab) de los proveedores personalizados de Application Verifier para inyectar archivos DLL arbitrarios no aparece para ser un nuevo concepto .

Pero ha sido reclamado como un nuevo día cero, ha habido un número de CVE asignadas, y parece estar despegando en las noticias. ¿Qué es diferente al respecto? ¿Y cómo puedo mitigarlo en mis sistemas?

vulnerability windows

pregunta Bob 22.03.2017 - 07:42

fuente

2 respuestas

Lea otras preguntas en las etiquetas vulnerability windows

Intentando determinar si alguien fue "DoS'd" ¿qué papel desempeñan los hashes en los contenedores cifrados?

score 3 · Answer 1

Es cierto que el concepto de Application Verifier ya se conocía (aunque está mal documentado) como herramienta de verificación. El problema es que es la primera vez que vemos que los atacantes utilizan esta función como una técnica de inyección para inyectar DLL en procesos de confianza .

El nuevo concepto sobre este ataque es usar el Antivirus como un malware. El antivirus se considera una entidad de confianza en el sistema y ni siquiera un administrador debe poder inyectar una DLL en su proceso. Si lo hace, le da al atacante la oportunidad de dejar de huir del antivirus pero usar el antivirus como un vector de ataque.

Como dije, la característica está mal documentada y ningún antivirus hoy la atenúa. Por lo tanto, la combinación de esos hechos le da al atacante la capacidad de ejecutarse en cada computadora con Windows sin ser detectado y los resultados pueden ser desastrosos (comunicación C & C, fugas de datos, nuevos tipos de ransomwares, etc.)

score -1 · Answer 2

-1

esto es esencialmente un engaño ... hay muchas formas de inyectar código o DLL en otros procesos, si tiene privilegios de administrador completos ... todo vuelve a las Diez Leyes de Seguridad Inmutables ( enlace )

respondido por el Raf 22.03.2017 - 13:05

fuente