Обнаружилась новая уязвимость нулевого дня DoubleAgent, позволяющая злоумышленникам контролировать антивирус с помощью технологии Microsoft Application Verifier. Новой атаке не подвержен только Защитник Windows.

Изначально средство Microsoft Application Verifier предназначено для верификации среды выполнения. Взломщики могут использовать его для внедрения собственного верификатора в любое приложение, включая антивирус. После этого антивирус может служить для выполнения вредоносных действий – и все это пройдет незамеченным для защитных систем, поскольку антивирус имеет высокий уровень доверия.
Доказано, что уязвимости DoubleAgent подвержены антивирусы Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Антивирус Касперского, Malwarebytes, McAfee, Panda, Quick Heal и Norton. А вот в Защитнике Windows реализована технология Protected Processes, которая позволяет предотвратить внедрение вредоносного кода за счет того, что разрешает только загрузку доверенного подписанного кода. Технология доступна всем производителям антивирусов, но ни один из них ее до сих пор не использовал.