Yeni ortaya çıkan bir sıfırıncı gün saldırısı, antivirüsünüzü etkisiz hale getirebilir. DoubleAgent saldırısı, Application Verifier adlı Microsoft teknolojisinden ve Windows XP döneminden kalan bir açıktan faydalanarak antivirüsünüzü kontrol altına alabiliyor.
Hacker, uygulamalardaki hataları bulmak üzere kullanılan runtime doğrulama aracı Application Verifier'ı kullanarak istediği uygulamaya kendi doğrulayıcısını enjekte edebiliyor. Application Verifier'ın belgelenmeyen bu özelliği, saldırganın program üzerinde tam kontrole sahip olmasına izin veriyor. Böylece sisteminizin ayakta kalması, saldırganın tasarrufuna kalıyor.
Antivirüsler sistemde güvenli olarak algılandıklarından, saldırgan adına zararlı işlemleri kolaylıkla gerçekleştirebiliyorlar. Saldırgan ise antivirüsü kullanarak sistemin tüm güvenlik kalkanlarını geçebiliyor.
POC kodunun şu üreticiler üzerinde test edildiği söyleniyor:
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
Hacker, dilerse sisteminizde kalıcı olmak üzere hamlede bulunabiliyor. Bu durumda sisteminizi baştan başlatmanız, güncellemeniz, yama yüklemeniz, zararlıyı kaldırmaya yetmiyor.
Microsoft'un Windows Defender'ı, "Korumalı İşlemler" yoluyla kod enjeksiyonunu engelleyebiliyor ve bu şekilde sadece güvenilen, tek bir kodun yüklenmesini sağlıyor. Ancak bu sistemi sadece Microsoft'un yazılımı kullanıyor.
Bu duruma bakacak olursak ve en azından bir Mozilla mühendisinin sözünü dinleyecek olursak, şu an antivirüs olarak Windows Defender'ı kullanmanız gerekiyor.