安全公司Cybellum發(fā)現(xiàn)了一個(gè)新的零日攻擊，使得黑客可以使用存在于所有Windows版本中的漏洞來(lái)控制在Windows系統(tǒng)上運(yùn)行的防病毒軟件，這個(gè)零日漏洞從Windows XP開(kāi)始存在，一直延續(xù)到最新的Windows 10。該公司今天發(fā)布的博客中解釋說(shuō)，大多數(shù)主要的防病毒解決方案都受到此漏洞的影響，包括Avast，AVG，Avira，Bitdefender，趨勢(shì)科技，Comodo，ESET，F(xiàn)-Secure，卡巴斯基，McAfee，熊貓和諾頓。

這個(gè)零日漏洞被稱為DoubleAgent，該漏洞利用了微軟自己在Windows中提供的合法工具，并被命名為“Microsoft Application Verifier”（微軟應(yīng)用程序驗(yàn)證器），原本的目的為了幫助開(kāi)發(fā)人員在應(yīng)用程序中找到錯(cuò)誤，該工具可以被劫持，用自定義驗(yàn)證器替換標(biāo)準(zhǔn)驗(yàn)證器，這使攻擊者能夠完全控制應(yīng)用程序。

之后，下一步是為屬于安全軟件的進(jìn)程注冊(cè)一個(gè)受損害的DLL，從而為更多惡意活動(dòng)打開(kāi)門戶，例如安裝后門程序，添加排除，刪除文件或甚至以典型的勒索軟件進(jìn)行攻擊，加密受害者文件。

Cybellum表示已經(jīng)通知了受影響的安全公司，但到目前為止，只有Malwarebytes和AVG發(fā)布了修復(fù)補(bǔ)丁。更糟糕的是，即使在用戶重新啟動(dòng)系統(tǒng)或安裝修補(bǔ)程序和更新后，DoubleAgent也具有注冊(cè)代碼的功能，從而非常難以刪除惡意軟件。通過(guò)一種新的持久化技術(shù)，DoubleAgent繞過(guò)了AV，NGAV和其他反病毒解決方案，并且使攻擊者能夠在沒(méi)有時(shí)間限制的情況下執(zhí)行攻擊。