以色列网络安全技术公司Cybellum近期发现攻击者能够利用一种新技术完全控制安全产品。这种用于攻击活动的新技术被称为“双面代理”，攻击中涉及微软应用程序验证程序 (Microsoft Application Verifier)，这是一款可以帮助开发人员找出在正常程序代码检测中难以察觉的错误。这款工具由Windows XP推出，默认安装并在所有的操作系统上启用。这种攻击依赖于合法工具，其适用于所有的Windows版本，包括Windows 10以及其他架构，因此微软对此也无能为力。

这款工具会将一个所谓的“验证程序提供商DLL”下载到目标应用程序的进程中用于运行时间测试。一旦被创建，这个DLL就会被当做一个提供商DLL被某个特定进程添加到Windows注册表中。Windows随后会自动将DLL注入所有带有被注册名称的进程中。这就允许特权用户执行恶意软件，以在防病毒或其它端点安全产品相关的进程中注册恶意DLL，并劫持代理。这种攻击方法对任何进程都不利。一旦恶意软件劫持了安全产品，就能够用于多种任务中，包括以攻击者身份执行恶意行为、更改白名单/黑名单和内部逻辑、安装后门、提取数据、将恶意软件传播到其它设备中，并且加密或删除文件（如勒索软件）。

遗憾的是这种攻击很难拦截，即使是重启系统、更新软件或重装目标产品后恶意代码仍会被注入到进程中。这个安全问题也影响到Win10。

本文根据测腾代码卫士《利用微软工具劫持安全产品》一文编辑整理。

原文链接：http://www.securityweek.com/attackers-can-hijack-security-products-microsoft-tool