Mange EDR-teknologier (trusted endpoint detection and response) kan have en sårbarhed i sig, der giver angribere en måde at manipulere produkterne til at slette stort set alle data på installerede systemer.
Eller Yair, en sikkerhedsforsker hos SafeBreach, der opdagede problemet, testede 11 EDR-værktøjer fra forskellige leverandører og fandt, at seks af dem - fra i alt fire leverandører - var sårbare. De sårbare produkter var Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus og SentinelOne.
Formelle CVE'er og patches
Tre af leverandørerne har tildelt formelle CVE-numre til fejlene og udstedt patches til dem, før Yair afslørede problemet på Black Hat Europe-konferencen onsdag den 7. december.
Hos Black Hat udgav Yair en proof-of-concept-kode kaldet Aikido, som han udviklede for at demonstrere, hvordan en wiper, med kun tilladelser fra en uprivilegeret bruger, kunne manipulere en sårbar EDR til at slette næsten enhver fil på systemet, inklusive systemfiler. "Vi var i stand til at udnytte disse sårbarheder i mere end 50 % af de EDR- og AV-produkter, vi testede, inklusive standard-endpoint-beskyttelsesproduktet på Windows," sagde Yair i en beskrivelse af sin Black Hat-tale. "Vi er heldige at få dette opdaget før rigtige angribere, da disse værktøjer og sårbarheder kunne have gjort en mange skader falder i de forkerte hænder." Han beskrev viskeren som sandsynligvis værende effektiv mod hundreder af millioner af slutpunkter, der kører EDR-versioner, der er sårbare over for udnyttelsen.
I kommentarer til Dark Reading siger Yair, at han rapporterede sårbarheden til de berørte leverandører mellem juli og august. "Vi arbejdede derefter tæt sammen med dem i løbet af de næste måneder på at skabe en rettelse forud for denne udgivelse," siger han. "Tre af leverandørerne udgav nye versioner af deres software eller patches for at løse denne sårbarhed." Han identificerede de tre leverandører som Microsoft, TrendMicro og Gen, producenten af Avast- og AVG-produkterne. "I dag har vi endnu ikke modtaget bekræftelse fra SentinelOne om, hvorvidt de officielt har frigivet en rettelse," siger han.
Yair beskriver sårbarheden som at have at gøre med, hvordan nogle EDR-værktøjer sletter ondsindede filer. "Der er to afgørende begivenheder i denne sletningsproces," siger han. "Der er det tidspunkt, hvor EDR registrerer en fil som ondsindet, og det tidspunkt, hvor filen faktisk slettes," hvilket nogle gange kan kræve en systemgenstart. Yair siger, at han opdagede, at en angriber mellem disse to hændelser har mulighed for at bruge såkaldte NTFS-forbindelsespunkter til at dirigere EDR til at slette en anden fil end den, den identificerede som ondsindet.
NTFS junctions punkter ligner såkaldte symboliske links, som er genvejsfiler til mapper og filer, der er placeret andre steder på et system, bortset fra at junctions bruges til at link mapper på forskellige lokale volumener på et system.
Udløser problemet
Yair siger, at for at udløse problemet på sårbare systemer, oprettede han først en ondsindet fil - ved at bruge tilladelserne fra en uprivilegeret bruger - så EDR ville opdage og forsøge at slette filen. Han fandt derefter en måde at tvinge EDR til at udsætte sletning til efter genstart ved at holde den ondsindede fil åben. Hans næste trin var at oprette en C:TEMP-mappe på systemet, gøre den til en forbindelse til en anden mappe og installere ting, så da EDR-produktet forsøgte at slette den skadelige fil - efter genstart - fulgte det en sti til en anden fil helt . Yair fandt ud af, at han kunne bruge det samme trick til at slette flere filer forskellige steder på en computer ved at oprette en mappegenvej og lægge specielt udformede stier til målrettede filer i den, som EDR-produktet kan følge.
Yair siger, at med nogle af de testede EDR-produkter var han ikke i stand til at foretage vilkårlig filsletning, men var i stand til at slette hele mapper i stedet.
Sårbarheden påvirker EDR-værktøjer, der udskyder sletning af ondsindede filer til efter et system genstarter. I disse tilfælde gemmer EDR-produktet stien til den ondsindede fil et eller andet sted – der varierer fra leverandør til – og bruger stien til at slette filen efter genstart. Yair siger, at nogle EDR-produkter ikke tjekker, om stien til den ondsindede fil fører til det samme sted efter genstart, hvilket giver angribere en måde at sætte en pludselig genvej midt på stien. Sådanne sårbarheder falder ind under en klasse kendt som Tidspunkt for kontrol Tidspunkt for brug
(TOCTOU) sårbarheder bemærker han.
Yair bemærker, at organisationer i de fleste tilfælde kan gendanne slettede filer. Så at få en EDR til at slette filer på et system af sig selv - mens det er dårligt - er ikke det værste tilfælde. "En sletning er ikke ligefrem en wipe," siger Yair. For at opnå det designede Yair Aikido, så den ville overskrive filer, den havde slettet, hvilket gør dem også uoprettelige.
Han siger, at den udnyttelse, han udviklede, er et eksempel på, at en modstander bruger en modstanders styrke mod dem – ligesom med Aikido-kampsporten. Sikkerhedsprodukter, såsom EDR-værktøjer, har superbrugerrettigheder på systemer, og en modstander, der er i stand til at misbruge dem, kan udføre angreb på en praktisk talt uopdagelig måde. Han sammenligner tilgangen med en modstander, der i stedet forvandler Israels berømte Iron Dome missilforsvarssystem til en angrebsvektor.
