Исследователь безопасности SafeBreach Labs Ор Яир обнаружилнесколько уязвимостей, которые позволили ему превратить EDR-продукты и антивирусы в вайперы. Уязвимые продукты безопасности могут удалить произвольные файлы и каталоги в системе и сделать компьютер непригодным для использования.
Вайпер, получивший название Aikido , злоупотребляет расширенными привилегиями продуктов EDR и AV в системе, полагаясь на каталоги-приманки, которые содержат специально созданные пути, чтобы инициировать удаление законных файлов.
“Вайпер работает с разрешениями непривилегированного пользователя, но при этом может удалить практически любой файл в системе, даже системные файлы, и сделать компьютер полностью неработоспособным. Все это происходит без реализации кода, что делает вайпер полностью необнаруживаемым”, – объясняет исследователь.
Вайпер Aikido использует злоупотребляет функцией Windows, которая позволяет пользователям создавать ссылки в точках соединения, которые похожи на символические ссылки (симлинки) независимо от привилегий учетной записи.
Яир объясняет, что непривилегированный пользователь не может удалить системные файлы (.sys), потому что у него соответствующих разрешений. Однако, аналитик обманом заставил продукт безопасности удалить файлы, создав каталог-приманку и поместив в него путь для удаления (например, C:tempWindowsSystem32drivers и C:WindowsSystem32drivers).
Исследователь создал вредоносный файл, поместил его в каталог-приманку, но не указал для него дескриптор. Не зная, какие программы имеют права на изменение файла, EDR/AV запросила перезагрузку системы для устранения угрозы. Затем исследователь удалил каталог приманки. Кроме того, при перезагрузке системы EDR/AV “несколько раз заполняет диск до нуля случайными байтами”, чтобы гарантировать, что данные будут перезаписаны и стерты.
Эксплойт также обходит функцию контролируемого доступа к папкам в Windows, предназначенную для предотвращения подделки файлов внутри защищенных папок – у EDR/AV есть разрешения на удаление этих файлов.
Из 11 протестированных продуктов безопасности 6 оказались уязвимыми для этого эксплойта. В ходе тестов был создан EICAR-Test-File вместо настоящего вредоносного файла, который удаляется EDR/AV.
О недостатках безопасности Яир сообщил затронутым поставщикам. Были выпущены 3 идентификатора CVE:
- CVE-2022-37971(CVSS: 7.1) для Microsoft Defender и Defender for Endpoint;
- CVE-2022-45797(CVSS: 5.0) для Trend Micro Apex One;
- CVE-2022-4173 (CVSS: 8.8) для Avast и AVG.