Paljudel usaldusväärsetel lõpp-punkti tuvastamise ja reageerimise (EDR) tehnoloogiatel võib olla haavatavus, mis annab ründajatele võimaluse manipuleerida toodetega, et kustutada praktiliselt kõik installitud süsteemide andmed.
Või Yair, probleemi avastanud SafeBreachi turbeteadlane, testis 11 EDR-tööriista erinevatelt tarnijatelt ja leidis, et kuus neist – kokku neljast müüjast – on haavatavad. Haavatavad tooted olid Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus ja SentinelOne.
Ametlikud CVE-d ja paigad
Kolm müüjat on määranud vigadele ametlikud CVE-numbrid ja väljastanud neile paigad enne, kui Yair kolmapäeval, 7. detsembril Black Hat Europe konverentsil probleemi avalikustas.
Black Hatis avaldas Yair Aikido-nimelise kontseptsioonitõestuskoodi, mille ta töötas välja selleks, et demonstreerida, kuidas privilegeeritud kasutaja lubadega klaasipuhasti saab manipuleerida haavatava EDR-iga, et pühkida peaaegu kõik süsteemis olevad failid, sealhulgas süsteemifailid. "Me suutsime neid turvaauke ära kasutada enam kui 50% testitud EDR- ja AV-toodetes, sealhulgas Windowsi lõpp-punkti kaitse vaiketootes," ütles Yair oma Black Hat'i kõne kirjelduses. "Meil on vedanud, et see avastati enne tõelisi ründajaid, kuna need tööriistad ja haavatavused oleksid võinud palju kahju sattuda valedesse kätesse." Ta kirjeldas klaasipuhastit tõenäoliselt tõhus sadade miljonite lõpp-punktide vastu, mis käitavad ärakasutamise suhtes haavatavaid EDR-versioone.
Kommentaarides Dark Readingule ütleb Yair, et teatas juulist augustini mõjutatud müüjatele haavatavusest. "Seejärel tegime nendega järgmise paari kuu jooksul tihedat koostööd, et luua enne seda avaldamist parandus," ütleb ta. "Kolm müüjat andsid selle haavatavuse kõrvaldamiseks välja oma tarkvara uued versioonid või paigad." Ta tuvastas, et kolm müüjat on Microsoft, TrendMicro ja Gen, Avast ja AVG toodete tootja. "Tänase seisuga ei ole me SentinelOne'ilt veel kinnitust saanud, kas nad on ametlikult paranduse välja andnud," ütleb ta.
Yair kirjeldab haavatavust nii, et see on seotud sellega, kuidas mõned EDR-i tööriistad kustutavad pahatahtlikke faile. "Selles kustutamisprotsessis on kaks otsustavat sündmust, " ütleb ta. "On aeg, mil EDR tuvastab faili pahatahtlikuna, ja aeg, mil fail tegelikult kustutatakse", mis võib mõnikord nõuda süsteemi taaskäivitamist. Yairi sõnul avastas ta, et nende kahe sündmuse vahel on ründajal võimalus kasutada nn NTFS-i ühenduspunkte, et suunata EDR kustutama teistsugust faili kui see, mille ta tuvastas pahatahtlikuna.
NTFS-i ristmikupunktid on sarnased nn sümboolsed lingid, mis on otseteefailid kaustadesse ja failid, mis asuvad mujal süsteemis, välja arvatud see, et ristmikke kasutatakse linkida erinevatel kohalikel köidetel olevaid katalooge süsteemi kohta.
Probleemi käivitamine
Yair ütleb, et haavatavates süsteemides probleemi käivitamiseks lõi ta esmalt pahatahtliku faili – kasutades selleks privilegeerimata kasutaja õigusi –, et EDR tuvastaks ja prooviks faili kustutada. Seejärel leidis ta viisi, kuidas sundida EDR-i kustutamist kuni pärast taaskäivitamist edasi lükkama, hoides pahatahtliku faili avatuna. Tema järgmiseks sammuks oli süsteemis C:TEMP kataloogi loomine, selle ühendamine teise kataloogiga ja asjade sidumine, nii et kui EDR-toode üritas pahatahtlikku faili kustutada – pärast taaskäivitamist –, läks see täiesti teise faili juurde. . Yair avastas, et suudab sama nippi kasutada mitme faili kustutamiseks arvuti erinevates kohtades, luues ühe kataloogi otsetee ja pannes sellesse sihitud failidele spetsiaalselt loodud teed, et EDR-toode järgiks.
Yair ütleb, et mõne testitud EDR-i tootega ei saanud ta suvaliselt faile kustutada, vaid suutis selle asemel terveid kaustu kustutada.
Haavatavus mõjutab EDR-i tööriistu, mis lükkavad pahatahtlike failide kustutamise edasi kuni pärast süsteemi taaskäivitamist. Sellistel juhtudel salvestab EDR-toode pahatahtliku faili tee teatud asukohta (mis on tarnijati erinev) ja kasutab seda teed faili kustutamiseks pärast taaskäivitamist. Yairi sõnul ei kontrolli mõned EDR-tooted, kas tee pahatahtliku faili juurde viib pärast taaskäivitamist samasse kohta, andes ründajatele võimaluse kleepida tee keskele äkiline otsetee. Sellised haavatavused kuuluvad klassi, mida tuntakse kui Kontrollimise aeg Kasutusaeg
(TOCTOU) haavatavused ta märgib.
Yair märgib, et enamikul juhtudel saavad organisatsioonid kustutatud faile taastada. Seega ei ole EDR-i hankimine süsteemis failide kustutamiseks iseenesest halvim juhtum. "Kustutamine pole lihtsalt pühkimine," ütleb Yair. Selle saavutamiseks kavandas Yair Aikido nii, et see kirjutaks kustutatud failid üle, muutes need samuti taastamatuks.
Ta ütleb, et tema väljatöötatud ärakasutamine on näide sellest, et vastane kasutab nende vastu vastase jõudu – täpselt nagu aikido võitluskunsti puhul. Turvatoodetel, näiteks EDR-tööriistadel, on süsteemides superkasutajaõigused ja neid kuritarvitada suuteline vastane võib sooritada ründeid praktiliselt tuvastamatul viisil. Ta võrdleb lähenemist vastasega, kes muudab Iisraeli kuulsa Iron Dome'i raketitõrjesüsteemi hoopis rünnakuvektoriks.
