近日，Cybellum公司发现了一个0-day漏洞，可完全控制大多数安全产品。此漏洞称为“DoubleAgent”(双面间谍)，多家安全厂商受到DoubleAgent的影响，包括Avast，AVG，Avira，Bitdefender，趋势科技，Comodo科摩多，ESET，F-Secure，卡巴斯基，Malwarebytes，McAfee，Panda，Quick Heal和赛门铁克(Norton)。

目前仅有几家公司放出针对该漏洞的补丁。

Avast (CVE-2017-5567)

AVG (CVE-2017-5566)

Avira (CVE-2017-6417)

Bitdefender (CVE-2017-6186)

趋势科技 (CVE-2017-5565)

Comodo

ESET

F-Secure

卡巴斯基

Malwarebytes

McAfee

Panda

Quick Heal

Norton

漏洞利用

此次攻击涉及到微软的非托管代码的运行验证工具——Application Verifier(应用程序检验器)。由Windows XP时代引入的Application Verifier，在所有Windows版本中都默认安装，其作用是帮助开发人员快速地在其应用程序中找到微小的编程错误，因此该漏洞在所有版本的Windows系统上都可利用。

该工具会在目标应用程序运行测试的工程中加载一个叫做“verifier provider DLL”的文件。

一旦加载完成，该DLL将作为指定进程的提供程序DLL添加到Windows注册表。 随后Windows会自动以该DLL注册名将DLL注入到所有进程中。

据Cybellum公司介绍，Microsoft Application Verifier的工作机制使得大量恶意软件能够通过高权限执行，攻击者可注册一恶意DLL来注入到杀毒软件或是其他终端安全产品，并劫持代理。部分安全产品尝试保护与其进程相关的注册表项，但是研究人员已经找到了一种方法来轻松绕过此保护。

当恶意软件劫持一款安全产品之后，攻击者就能利用它做很多事情，比如让安全产品做出如黑客行为般的恶意操作——修改白名单/黑名单或内部逻辑，下载后门，泄露数据，将恶意软件传播到其他机器上，加密/删除文件(类似于勒索软件)。

此恶意代码会在系统重启，软件升级或是安全产品再安装过程中甚至之后注入，因此这种攻击难以防范。

据称“DoubleAgent”攻击可在所有Windows版本中生效，然而，这种攻击建立在一个合法工具之上，微软也措手无策。

Cybellum公司已在GitHub上公布漏洞利用细节