Le DoubleAgent peut non seulement détourner un antivirus Windows tiers, mais utiliser ce logiciel pour générer d’autres attaques. Bien qu’il n’y ait aucune preuve que l’exploit a fait son chemin, la plupart des programmes antivirus sont encore complètement sensibles à cela.
Le travail d’un logiciel antivirus consiste à empêcher les programmes malveillants de compromettre votre système. Mais que se passe-t-il lorsque le programme malveillant en question peut compromettre votre antivirus ?
Un malware qui se cache dans l’ombre
Pour l’instant, seuls AVG, Malwarebytes et Trend Micro ont des correctifs disponibles prochainement. Vous pouvez également utiliser Linux ou MacOS à la place de Windows, bien qu’ils ne soient pas entièrement invulnérables, non plus. Ou, autre alternative, vous pouvez désactiver votre logiciel antivirus tiers existant et compter sur Windows Defender, même si cela n’est pas vraiment efficace contre les malware « zero-day ».
Les recherches sur le DoubleAgent proviennent de Cybellum, une société israélienne de cybersécurité qui se spécialise dans les exploits zero-day. Bien que DoubleAgent soit un bout de malware artificiellement construit, la faille sur laquelle il se nourrit est une vulnérabilité « zero-day ». Windows utilise un outil appelé Microsoft Application Verifier qui aide les développeurs à vérifier les bugs dans les programmes basés sur Windows. Chaque programme Windows est soumis à l’examen de Verifier, y compris les logiciels antivirus.
DoubleAgent n’est pas très actif, mais reste redoutable
En créant une fausse clé de registre et un faux fichier DLL prédateur pour le vérificateur, Cybellum a pu contrôler totalement le logiciel antivirus Norton Security. Cybellum a même ajouté un petit graphique de crâne joyeux et le message : « Vous avez été piraté ! » à l’écran de démarrage de Norton Security. Les vrais pirates ne sont probablement pas aussi courtois.
Rappelez-vous également que DoubleAgent peut compromettre presque n’importe quel programme sur Windows, pas seulement le logiciel antivirus. Le logiciel antivirus, avec son système de privilèges élevés, n’est qu’un moyen simple et rapide d’exploiter cette lacune décrite récemment. Comme d’habitude, garder votre logiciel antivirus à jour est votre meilleure défense contre DoubleAgent.