13.12.2022 | EDR и антивирусы научились удалять системные файлы и драйверы |
Исследователь безопасности SafeBreach Labs Ор Яир обнаружил несколько уязвимостей, которые позволили ему превратить EDR-продукты и антивирусы в вайперы. Уязвимые продукты безопасности могут удалить произвольные файлы и каталоги в системе и сделать компьютер непригодным для использования. Вайпер, получивший название Aikido , злоупотребляет расширенными привилегиями продуктов EDR и AV в системе, полагаясь на каталоги-приманки, которые содержат специально созданные пути, чтобы инициировать удаление законных файлов. «Вайпер работает с разрешениями непривилегированного пользователя, но при этом может удалить практически любой файл в системе, даже системные файлы, и сделать компьютер полностью неработоспособным. Все это происходит без реализации кода, что делает вайпер полностью необнаруживаемым», — объясняет исследователь. Вайпер Aikido использует злоупотребляет функцией Windows, которая позволяет пользователям создавать ссылки в точках соединения, которые похожи на символические ссылки (симлинки) независимо от привилегий учетной записи. Яир объясняет, что непривилегированный пользователь не может удалить системные файлы (.sys), потому что у него соответствующих разрешений. Однако, аналитик обманом заставил продукт безопасности удалить файлы, создав каталог-приманку и поместив в него путь для удаления (например, C: empWindowsSystem32drivers и C:WindowsSystem32drivers). Исследователь создал вредоносный файл, поместил его в каталог-приманку, но не указал для него дескриптор. Не зная, какие программы имеют права на изменение файла, EDR/AV запросила перезагрузку системы для устранения угрозы. Затем исследователь удалил каталог приманки. Кроме того, при перезагрузке системы EDR/AV «несколько раз заполняет диск до нуля случайными байтами», чтобы гарантировать, что данные будут перезаписаны и стерты. Эксплойт также обходит функцию контролируемого доступа к папкам в Windows, предназначенную для предотвращения подделки файлов внутри защищенных папок — у EDR/AV есть разрешения на удаление этих файлов. Из 11 протестированных продуктов безопасности 6 оказались уязвимыми для этого эксплойта. В ходе тестов был создан EICAR-Test-File вместо настоящего вредоносного файла, который удаляется EDR/AV. О недостатках безопасности Яир сообщил затронутым поставщикам. Были выпущены 3 идентификатора CVE:
|
Проверить безопасность сайта