Многие популярные антивирусные программы, такие как Microsoft, SentinelOne, TrendMicro, Avast и AVG, могут быть использованы для удаления данных, заявил ведущий исследователь кибербезопасности.
В доказательстве концепции документ (откроется в новой вкладке) получивший прозвище «Айкидо», Ор Яир, работающий в фирме по кибербезопасности SafeBreach, объяснил, как работает эксплойт с помощью так называемой уязвимости «время от проверки до времени использования» (TOCTOU).
Примечательно, что в боевых искусствах айкидо относится к японскому стилю, в котором практикующий стремится использовать движение и силу противника против себя.
Как это работает?
Уязвимость может использоваться для облегчения различных кибератак, известных как «вайперы», по словам Яира, которые обычно используются в наступательных военных ситуациях.
В кибербезопасности вайпер — это класс вредоносных программ, предназначенных для очистки жесткого диска зараженного компьютера, злонамеренного удаления данных и программ.
Согласно слайду, эксплойт перенаправляет «сверхмощь» программного обеспечения для обнаружения конечных точек на «удаление любого файла независимо от привилегий».
Весь описанный процесс включал создание вредоносного файла в «C:\temp\Windows\System32\drivers\ndis.sys».
Затем следует удерживать его дескриптор и заставлять «AV / EDR отложить удаление до следующей перезагрузки».
Затем следует удаление «каталога C:\temp» и «создание соединения в C:\temp –> C:\», после чего следует перезагрузка машины.
Пострадали только некоторые из самых популярных антивирусных брендов, около 50%, по словам Яира.
Согласно презентации, подготовленной исследователем, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus и AVG Antivirus были затронуты этой уязвимостью.
К счастью для некоторых, такие продукты, как Palo Alto, XDR, Cylance, CrowdStrike, McAfee и BitDefender, не пострадали.
- Хотите обновить свои инструменты кибербезопасности? Ознакомьтесь с нашим руководством по лучшим инструментам для удаления вредоносных программ.
