Double Agentと呼ばれるセキュリティソフトを対象とした攻撃手法がイスラエルに拠点を置くセキュリティ企業Cybellum社によって発見され、3月22日に公表されました。この攻撃手法は公表されていますが、まだ一般での感染や悪用されたとの報告はありません。
Double Agentは、Windowsオペレーティングシステム内に15年以上存在していたの脆弱性を利用しています。Windowsに標準搭載されている実行時検証ツール「Microsoft Application Verifier」に起因しています。Microsoft Application Verifierは、XPからWindows 10までのすべてのWindows PC上に存在しており、ソフト開発会社が開発したWindowsアプリケーションのバグを発見し、セキュリティを強化するためのツールとして用いられます。攻撃者はMicrosoft Application Verifierの脆弱性を利用することで、標準搭載されているこの検証機能を改変したものに置き換えることが可能となります。これにより、セキュリティソフトがもつWindowsでの特権的な権限を用いて、一般的なマルウェアとは異なる次元での高度な諜報活動や破壊工作が可能となります。
Double Agentは、これらのWindowsへ対応することができるため、14種類のセキュリティソフト自身を改変することができることが確認されました。確認済の影響を受ける14のセキュリティソフトは、
- AVG
- Malwarebytes
- Avast
- Avira
- Bitdefender
- Trend Micro
- Comodo
- ESET
- F-Secure
- Kaspersky
- McAfee
- Panda
- Quick Heal
- Norton
すべてのセキュリティソフトは、この脆弱性を修正するために90日以上を要するとみられています。ただし、これらの14製品のうち、AVG, Kaspersky, Trend Micro, Comodo, Norton と Malwarebytesの6製品が3月24日現在、既に修正されています。Cybellum社は、他のウイルス対策ソフトウェア製品も同様に脆弱である可能性が高いと警告しています。
この攻撃手法の亜種が、Microsoft Application Verifierを用いて他の様々なプログラムに侵入を許す可能性があります。そして、セキュリティソフトは、パソコン利用者から信頼され、Windowsの特権的な権限を用いてパソコン全体にアクセスすることができます。セキュリティソフトは、悪者にとっても宝箱の鍵ともなるのです。
Network world:Double Agent attack can turn antivirus into malware