[CA6376] DoubleAgent code injectie en proces kidnapping

Samenvatting

ESET Klanten advies 2017-0006
23 Maart 2017
Ernst: Laag

ESET is geinformeerd over de bevindingen uit rapportages van Cybellum, deze beschrijven een techniek met de naam DoubleAgent die gebruikt kan worden om code te injecteren en aanwezig te blijven op een apparaat (bijvoorbeeld auto-run) door misbruik te maken van Microsoft’s Application Verifier’s undocumented functie.

De meeste ESET processen waren al imuum tegen deze zwakheden;  ESET heeft meer bescherming toegevoegd voor andere processen die wellicht konden worden geraakt door deze bedreigingen (deze beschermingen worden verspreid onder alle ESET gebruikers door een module update). Daarnaast zijn er Administrator rechten nodig om deze aanvallen uit te voeren, hierdoor is de kans van slagen vele malen lager.

Customer Advisory

Details

Volgens de rapportages, is het mogelijk om register onderdelen voor processen aan te passen die gebruik maken van Microsoft’s Application Verifier waardes om een bibliotheek te laden van een schijf,  daarmee is er een mogelijkheid om een gevaarlijke bibliotheek te laden welke de toestemmingen krijgt van het slachtoffer process. (Hierin is geen beperking tot processen van ESET, of andere antivirus processen.)

Het is echter wel belangrijk om te vermelden dat het gevaar van bedreiging door deze zwakheden zeer leeg is omdat de aanvallers  administrator rechten nodig hebben van het apparaat om de register onderdelen aan te passen.

Oplossing

ESET voegt geleidelijk extra lagen van beveiliging toe welke aanvallen op het besturingssysteem en het beveiligingspakket zullen voorkomen. In alle ESET producten sinds versie 4 staat onze zelfverdedigingsmodule automatisch ingeschakeld, deze module voorkomt het aanpassen van register onderdelen voor onze belangrijkste processen en de laatste HIPS module (versie 1273, uitgegeven op 23 maart 2017) voegt deze zelfde bescherming toe voor de extra ESET processen die mogelijk konden worden geraakt door deze zwakheden. De module update wordt automatisch verspreid onder alle gebruikers, er is dus geen noodzaak op iets te downloaden of te installeren.

Let op: Het herstarten van de computer is noodzakelijk na een eerste installatie van uw Windows ESET installatie om te zorgen dat ons zelfverdedigingsmechanisme actief wordt. Hetzelfde niveau van bescherming komt snel naar onze Endpoint producten.

Feedback & Support

Als u nog vragen of feeback heeft over dit probleem, neem dan contact op met de ESET klantenservice.

Versie log

Versie 1.0 (Maart 23, 2017): Initial version of this document