Para los atacantes cibernéticos, las herramientas populares de EDR pueden convertirse en borradores de datos destructivos

Muchas tecnologías confiables de detección y respuesta de puntos finales (EDR) pueden tener una vulnerabilidad en ellas que brinda a los atacantes una forma de manipular los productos para borrar prácticamente cualquier dato en los sistemas instalados.

O Yair, un investigador de seguridad de SafeBreach que descubrió el problema, probó 11 herramientas EDR de diferentes proveedores y encontró que seis de ellas, de un total de cuatro proveedores, eran vulnerables. Los productos vulnerables fueron Microsoft Windows Defender, Windows Defender para Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus y SentinelOne.

CVE y parches formales

Tres de los proveedores asignaron números CVE formales para los errores y emitieron parches para ellos antes de que Yair revelara el problema en la conferencia Black Hat Europe el miércoles 7 de diciembre.

En Black Hat, Yair lanzó un código de prueba de concepto denominado Aikido que desarrolló para demostrar cómo un limpiador, con solo los permisos de un usuario sin privilegios, podía manipular un EDR vulnerable para borrar casi cualquier archivo del sistema, incluidos los archivos del sistema. “Pudimos explotar estas vulnerabilidades en más del 50 % de los productos EDR y AV que probamos, incluido el producto de protección de punto final predeterminado en Windows”, dijo Yair en una descripción de su charla sobre Black Hat. “Tenemos suerte de que esto se haya descubierto antes que los atacantes reales, ya que estas herramientas y vulnerabilidades podrían haber hecho un mucho daño caer en las manos equivocadas”. Él describió el limpiaparabrisas como probable que sea efectivo contra cientos de millones de puntos finales que ejecutan versiones EDR vulnerables al exploit.

En comentarios a Dark Reading, Yair dice que informó la vulnerabilidad a los proveedores afectados entre julio y agosto. “Luego, trabajamos en estrecha colaboración con ellos durante los siguientes meses en la creación de una solución antes de esta publicación”, dice. “Tres de los proveedores lanzaron nuevas versiones de su software o parches para abordar esta vulnerabilidad”. Identificó a los tres proveedores como Microsoft, TrendMicro y Gen, el fabricante de los productos Avast y AVG. “Hasta el día de hoy, aún no hemos recibido confirmación de SentinelOne sobre si han lanzado oficialmente una solución”, dice.

Yair describe la vulnerabilidad como relacionada con la forma en que algunas herramientas EDR eliminan archivos maliciosos. “Hay dos eventos cruciales en este proceso de eliminación”, dice. “Está el momento en que el EDR detecta un archivo como malicioso y el momento en que el archivo se elimina realmente”, lo que a veces puede requerir un reinicio del sistema. Yair dice que descubrió que entre estos dos eventos, un atacante tiene la oportunidad de usar lo que se conoce como puntos de unión NTFS para indicarle al EDR que elimine un archivo diferente al que identificó como malicioso.

Los puntos de unión NTFS son similares a los llamados enlaces simbólicos, que son archivos de acceso directo a carpetas y archivos ubicados en otro lugar de un sistema, excepto que las uniones se utilizan para vincular directorios en diferentes volúmenes locales en un sistema.

Activar el problema

Yair dice que para desencadenar el problema en los sistemas vulnerables, primero creó un archivo malicioso, utilizando los permisos de un usuario sin privilegios, para que el EDR detectara e intentara eliminar el archivo. Luego encontró una manera de obligar a EDR a posponer la eliminación hasta después del reinicio, manteniendo abierto el archivo malicioso. Su siguiente paso fue crear un directorio C:TEMP en el sistema, convertirlo en una unión a un directorio diferente y manipular las cosas para que cuando el producto EDR intentara eliminar el archivo malicioso, después de reiniciar, siguiera una ruta a un archivo completamente diferente. . Yair descubrió que podía usar el mismo truco para eliminar varios archivos en diferentes lugares de una computadora creando un acceso directo de directorio y colocando rutas especialmente diseñadas para archivos específicos dentro de él, para que el producto EDR las siga.

Yair dice que con algunos de los productos EDR probados, no pudo eliminar archivos arbitrariamente, sino que pudo eliminar carpetas completas.

La vulnerabilidad afecta las herramientas EDR que posponen la eliminación de archivos maliciosos hasta que se reinicia el sistema. En estos casos, el producto EDR almacena la ruta al archivo malicioso en alguna ubicación (que varía según el proveedor) y usa la ruta para eliminar el archivo después de reiniciar. Yair dice que algunos productos EDR no verifican si la ruta al archivo malicioso conduce al mismo lugar después de reiniciar, lo que brinda a los atacantes una forma de colocar un atajo repentino en el medio de la ruta. Tales vulnerabilidades caen en una clase conocida como Hora de verificación Hora de uso
(TOCTOU) vulnerabilidades que señala.

Yair señala que, en la mayoría de los casos, las organizaciones pueden recuperar archivos eliminados. Por lo tanto, lograr que un EDR elimine archivos en un sistema por sí mismo, aunque sea malo, no es el peor de los casos. “Una eliminación no es exactamente un borrado”, dice Yair. Para lograr eso, Yair diseñó Aikido para que sobrescribiera los archivos que había eliminado, haciéndolos también irrecuperables.

Él dice que la hazaña que desarrolló es un ejemplo de un adversario que usa la fuerza de un oponente contra él, al igual que con el arte marcial Aikido. Los productos de seguridad, como las herramientas EDR, tienen derechos de superusuario en los sistemas y un adversario que pueda abusar de ellos puede ejecutar ataques de una manera prácticamente indetectable. Él compara el enfoque con un adversario que convierte el famoso sistema de defensa antimisiles Cúpula de Hierro de Israel en un vector de ataque.