2017/03/22

Investigadores subvertem ferramenta do Windows para infectar qualquer programa


Há que dar crédito às formas criativas que investigadores e atacantes vão criando como comprometer um sistema, e neste ataque "DoubleAgent", recorrem a uma ferramenta de verificação de programas do Windows para infectar praticamente qualquer programa no sistema, incluindo os anti-virus.

Investigadores de segurança da Cybellum tiveram uma ideia algo caricata, de utilizar a ferramenta Application Verifier da Microsoft, que é utilizada pelos developers para detectar e corrigir bugs nos seus programas, e que tem a capacidade de injectar DLLs. O problema é que estes investigadores descobriram que a podiam utilizar para injectar os seus próprios DLLs maliciosos em vez daqueles que seriam esperados - efectivamente dando-lhes a capacidade de reescrever por completo aquilo que qualquer programa faz.

Como demonstração, os investigadores transformaram um programa de anti-virus num programa de ransomware que encriptava todos os documentos do utilizador; mas o mesmo poderia ser feito com praticamente qualquer outro programa instalado, até mesmo programas pré-instalados com o Windows. E claro que as potencialidades não se limitam a transformar programas em ransomware, podendo transformar outros programas em ferramentas de acesso remoto, espionagem, malware, mais discretas e que passarão despercebidas aos utilizadores.

... Fico curioso por saber que mais técnicas "artísticas" irão sendo descobertas para contornar os sistemas de segurança (que também são cada vez mais elaborados e complexos), neste eterna batalha pela segurança digital que não parece ter fim à vista.

1 comentário:

  1. Com poderes de administração, seria particularmente grave se com uma conta limitada (como toda a gente devia de ter) se conseguisse reproduzir o que é demonstrado...

    ResponderEliminar

[pub]