DoubleAgent: une attaque qui transforme l’anti-virus en agent malveillant

Cybellum, société israélienne spécialisée en cybersécurité, a identifié une faille qui permet d’exploiter une vulnérabilité zero-day dans Windows pour injecter du code malveillant en passant par un logiciel anti-virus. Baptisée DoubleAgent, la technique transforme l’agent de l’anti-virus en agent malveillant. La vulnérabilité exploitée par la technique DoubleAgent a 15 ans et doit encore être patchée par la plupart des fournisseurs d’anti-virus. Le problème concerne toutes les moutures de Windows, de XP à la version 10, assure Cybellum dans son rapport.

Les anti-virus étant considérés par Windows comme des programmes fiables, le code malveillant injecté et les processus qu’il permet d’opérer par ce biais sont considérés comme légitimes. L’attaquant peut ainsi contourner toutes les autres solutions de sécurité présentes sur un PC et un réseau. Allant davantage dans les détails, Cybellum explique que la technique exploite l’outil Microsoft Application Verifier, qui scanne les systèmes Windows en arrière-plan pour identifier des bugs dans les applications. Avec la technique DoubleAgent, ce vérificateur peut être substitué par le propre vérificateur de l’assaillant, lequel peut ainsi prendre le contrôle total du processus d’une application.