Per gli aggressori informatici, i popolari strumenti EDR possono trasformarsi in distruttivi data wiper

Molte tecnologie affidabili di rilevamento e risposta degli endpoint (EDR) possono presentare una vulnerabilità che offre agli aggressori un modo per manipolare i prodotti in modo da cancellare praticamente tutti i dati sui sistemi installati.

Oppure Yair, un ricercatore di sicurezza presso SafeBreach che ha scoperto il problema, ha testato 11 strumenti EDR di diversi fornitori e ne ha trovati sei, su un totale di quattro fornitori, vulnerabili. I prodotti vulnerabili erano Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus e SentinelOne.

CVE formali e patch

Tre dei fornitori hanno assegnato numeri CVE formali per i bug e rilasciato patch per loro prima che Yair rivelasse il problema alla conferenza Black Hat Europe di mercoledì 7 dicembre.

Alla Black Hat, Yair ha rilasciato un codice proof-of-concept soprannominato Aikido che ha sviluppato per dimostrare come un tergicristallo, con solo le autorizzazioni di un utente non privilegiato, potrebbe manipolare un EDR vulnerabile per cancellare quasi tutti i file sul sistema, inclusi i file di sistema. "Siamo stati in grado di sfruttare queste vulnerabilità in oltre il 50% dei prodotti EDR e AV che abbiamo testato, incluso il prodotto di protezione degli endpoint predefinito su Windows", ha affermato Yair in una descrizione del suo Black Hat talk. “Siamo fortunati ad averlo scoperto prima di veri aggressori, poiché questi strumenti e vulnerabilità avrebbero potuto fare un molti danni cadere nelle mani sbagliate”. Lui descritto il tergicristallo probabilmente efficace contro centinaia di milioni di endpoint che eseguono versioni EDR vulnerabili all'exploit.

Nei commenti a Dark Reading, Yair afferma di aver segnalato la vulnerabilità ai fornitori interessati tra luglio e agosto. "Abbiamo poi lavorato a stretto contatto con loro nei mesi successivi alla creazione di una soluzione prima di questa pubblicazione", afferma. "Tre fornitori hanno rilasciato nuove versioni del loro software o patch per risolvere questa vulnerabilità." Ha identificato i tre fornitori come Microsoft, TrendMicro e Gen, il produttore dei prodotti Avast e AVG. "Ad oggi, non abbiamo ancora ricevuto conferma da SentinelOne in merito al rilascio ufficiale di una correzione", afferma.

Yair descrive la vulnerabilità come legata al modo in cui alcuni strumenti EDR eliminano file dannosi. “Ci sono due eventi cruciali in questo processo di cancellazione”, dice. "C'è un momento in cui l'EDR rileva un file come dannoso e un momento in cui il file viene effettivamente eliminato", il che a volte può richiedere il riavvio del sistema. Yair afferma di aver scoperto che tra questi due eventi un utente malintenzionato ha l'opportunità di utilizzare i cosiddetti punti di giunzione NTFS per ordinare all'EDR di eliminare un file diverso da quello identificato come dannoso.

I punti di giunzione NTFS sono simili ai cosiddetti collegamenti simbolici, che sono file di collegamento a cartelle e file che si trovano altrove su un sistema, tranne a cui sono abituati i nodi collegare le directory su diversi volumi locali su un sistema.

Attivazione del problema

Yair afferma che per attivare il problema sui sistemi vulnerabili ha prima creato un file dannoso, utilizzando le autorizzazioni di un utente non privilegiato, in modo che l'EDR potesse rilevare e tentare di eliminare il file. Ha quindi trovato un modo per forzare l'EDR a posticipare l'eliminazione fino a dopo il riavvio, mantenendo aperto il file dannoso. Il passo successivo è stato creare una directory C:TEMP sul sistema, renderla un collegamento a una directory diversa e sistemare le cose in modo che quando il prodotto EDR tentasse di eliminare il file dannoso, dopo il riavvio, seguisse un percorso verso un file completamente diverso . Yair ha scoperto che poteva usare lo stesso trucco per eliminare più file in posti diversi su un computer creando un collegamento a una directory e inserendo percorsi appositamente predisposti per i file mirati al suo interno, affinché il prodotto EDR potesse seguirli.

Yair afferma che con alcuni dei prodotti EDR testati, non è stato in grado di eseguire l'eliminazione arbitraria dei file, ma è stato invece in grado di eliminare intere cartelle.

La vulnerabilità colpisce gli strumenti EDR che posticipano l'eliminazione di file dannosi fino al riavvio del sistema. In questi casi, il prodotto EDR memorizza il percorso del file dannoso in una posizione, che varia in base al fornitore, e utilizza il percorso per eliminare il file dopo il riavvio. Yair afferma che alcuni prodotti EDR non controllano se il percorso del file dannoso conduce allo stesso posto dopo il riavvio, offrendo agli aggressori la possibilità di inserire una scorciatoia improvvisa nel mezzo del percorso. Tali vulnerabilità rientrano in una classe nota come Tempo di controllo Tempo di utilizzo
(TOCTOU) vulnerabilità che osserva.

Yair osserva che nella maggior parte dei casi le organizzazioni possono recuperare i file cancellati. Pertanto, fare in modo che un EDR elimini da solo i file su un sistema, anche se non corretto, non è il caso peggiore. "Una cancellazione non è esattamente una cancellazione", dice Yair. Per raggiungere questo obiettivo, Yair ha progettato Aikido in modo che sovrascrivesse i file che aveva eliminato rendendoli anch'essi irrecuperabili.

Dice che l'exploit che ha sviluppato è un esempio di un avversario che usa la forza di un avversario contro di sé, proprio come con l'arte marziale dell'Aikido. I prodotti di sicurezza, come gli strumenti EDR, hanno diritti di superutente sui sistemi e un avversario che è in grado di abusarne può eseguire attacchi in modo praticamente impercettibile. Paragona l’approccio a un avversario che trasforma invece il famoso sistema di difesa missilistico Iron Dome di Israele in un vettore di attacco.