ウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」

ゼロデイ攻撃対策を提供するCybellumは22日、Windows XP以降で利用可能なコード検証ツール「Application Verifier」の仕組みを悪用してウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」の詳細を公表した(Cybellumのブログ記事[1][2]BetaNewsの記事The Registerの記事)。

Application Verifierでは、レジストリを設定することで正規のコード検証ツール以外のDLLをプロセス起動時にインジェクト可能な非公開機能が存在することが、遅くとも2011年から知られている。DoubleAgentはこの非公開機能を悪用するもので、ウイルス対策ソフトウェアに検出されずにコードをインジェクトし、常駐させることが可能となる。

Windows 8.1以降ではウイルス対策ソフトウェアのプロセスを保護する「Protected Processes」などと呼ばれる機能が提供されており、Windows Defenderはこの機能を使用しているが、サードパーティのウイルス対策ソフトウェアではほとんど使われていないという。

攻撃を成功させるにはローカルでのアクセスと管理者権限が必要となるため、影響範囲は狭いとみられるが、Cybellumでは以下のベンダーの製品でPoCを実行し、脆弱性が存在することを確認したとのこと。

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton


あわせて読みたい

気になるキーワード

スラドの記事をもっと見る 2017年3月26日のIT記事
この記事にコメントする

\ みんなに教えてあげよう! /

次に読みたい関連記事「Google」のニュース

次に読みたい関連記事「Google」のニュースをもっと見る

次に読みたい関連記事「Apple」のニュース

次に読みたい関連記事「Apple」のニュースをもっと見る

トピックス

今日の主要ニュース 国内の主要ニュース 海外の主要ニュース 芸能の主要ニュース スポーツの主要ニュース トレンドの主要ニュース おもしろの主要ニュース コラムの主要ニュース インタビューの主要ニュース

ITニュースアクセスランキング

ITランキングをもっと見る

コメントランキング

コメントランキングをもっと見る

トレンドの人気のキーワード一覧

新着キーワード一覧

このカテゴリーについて

最新IT業界情報やiPhoneやAndroidやガジェット、話題のサービス、IoT情報、スタートアップにまつわるニュースをお届け中。