טכנולוגיות רבות של זיהוי ותגובה של נקודות קצה מהימנות (EDR) עשויות להכיל פגיעות הנותנת לתוקפים דרך לתמרן את המוצרים כדי למחוק כמעט כל מידע במערכות המותקנות.
אור יאיר, חוקר אבטחה ב-SafeBreach שגילה את הבעיה, בדק 11 כלי EDR של ספקים שונים ומצא שישה מהם - מארבעה ספקים בסך הכל - פגיעים. המוצרים הפגיעים היו Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus ו-SentinelOne.
CVEs ותיקונים רשמיים
שלושה מהספקים הקצו מספרי CVE רשמיים עבור הבאגים והוציאו עבורם טלאים לפני שיאיר חשף את הנושא בוועידת Black Hat Europe ביום רביעי, 7 בדצמבר.
ב-Black Hat, יאיר פרסם קוד הוכחת קונספט בשם Aikido שפיתח כדי להדגים כיצד מגב, רק עם הרשאות של משתמש חסר פריבילגיה, יכול לתמרן EDR פגיע למחיקת כמעט כל קובץ במערכת, כולל קבצי מערכת. "הצלחנו לנצל את הפגיעויות הללו ביותר מ-50% ממוצרי ה-EDR וה-AV שבדקנו, כולל מוצר הגנת נקודות הקצה המוגדר כברירת מחדל ב-Windows", אמר יאיר בתיאור הרצאתו ב-Black Hat. "יש לנו מזל שגילינו את זה לפני תוקפים אמיתיים, מכיוון שהכלים והפגיעויות האלה יכלו לעשות נזק רב נופל בידיים הלא נכונות". הוא תיאר את המגב ככל הנראה יעיל מול מאות מיליוני נקודות קצה שמריצות גרסאות EDR הפגיעות לניצול.
בהערות ל-Dark Reading, יאיר אומר שהוא דיווח על הפגיעות לספקים המושפעים בין יולי לאוגוסט. "לאחר מכן עבדנו איתם בצמוד במהלך החודשים הבאים על יצירת תיקון לפני הפרסום הזה", הוא אומר. "שלושה מהספקים פרסמו גרסאות חדשות של התוכנה או התיקונים שלהם כדי לטפל בפגיעות זו." הוא זיהה את שלושת הספקים כמיקרוסופט, TrendMicro ו-Gen, יצרנית מוצרי Avast ו-AVG. "נכון להיום, עדיין לא קיבלנו אישור מ-SentinelOne אם הם פרסמו תיקון באופן רשמי", הוא אומר.
יאיר מתאר את הפגיעות כקשורה לאופן שבו חלק מכלי EDR מוחקים קבצים זדוניים. "ישנם שני אירועים מכריעים בתהליך המחיקה הזה", הוא אומר. "יש את הזמן שבו ה-EDR מזהה קובץ כזדוני והזמן שבו הקובץ נמחק בפועל," שלפעמים עשוי לדרוש אתחול המערכת. יאיר אומר, הוא גילה שבין שני האירועים הללו לתוקף יש הזדמנות להשתמש במה שמכונה נקודות צומת NTFS כדי לכוון את ה-EDR למחוק קובץ שונה מזה שהוא זיהה כזדוני.
נקודות צומת NTFS דומות למה שנקרא קישורים סימבוליים, שהם קבצי קיצור לתיקיות וקבצים הממוקמים במקומות אחרים במערכת, פרט לכך שצמתים משמשים כדי קישור ספריות בכרכים מקומיים שונים במערכת.
מפעיל את הבעיה
יאיר אומר שכדי להפעיל את הבעיה במערכות פגיעות הוא יצר תחילה קובץ זדוני - תוך שימוש בהרשאות של משתמש לא מוגן - כך שה-EDR יזהה וינסה למחוק את הקובץ. לאחר מכן הוא מצא דרך לאלץ את ה-EDR לדחות את המחיקה עד לאחר אתחול מחדש, על ידי השארת הקובץ הזדוני פתוח. הצעד הבא שלו היה ליצור ספריית C:TEMP במערכת, להפוך אותה לצומת לספרייה אחרת ולתקן דברים כך שכאשר מוצר ה-EDR ניסה למחוק את הקובץ הזדוני - לאחר אתחול מחדש - הוא הלך בנתיב לקובץ אחר לגמרי . יאיר גילה שהוא יכול להשתמש באותו טריק כדי למחוק מספר קבצים במקומות שונים במחשב על ידי יצירת קיצור דרך ספרייה אחד והצבת נתיבים בעלי מבנה מיוחד לקבצים ממוקדים בתוכו, כדי שמוצר ה-EDR ימשיך לפעול.
יאיר מספר שעם חלק ממוצרי ה-EDR שנבדקו, הוא לא הצליח לבצע מחיקת קבצים שרירותית אלא הצליח למחוק תיקיות שלמות במקום.
הפגיעות משפיעה על כלי EDR הדוחים מחיקה של קבצים זדוניים עד לאחר אתחול המערכת מחדש. במקרים אלה, מוצר ה-EDR מאחסן את הנתיב לקובץ הזדוני במיקום כלשהו - המשתנה לפי ספק - ומשתמש בנתיב כדי למחוק את הקובץ לאחר אתחול מחדש. יאיר אומר שחלק ממוצרי EDR לא בודקים אם הנתיב לקובץ הזדוני מוביל לאותו מקום לאחר אתחול מחדש, מה שנותן לתוקפים דרך לתקוע קיצור פתאומי באמצע הנתיב. פגיעויות כאלה נופלות למעמד המכונה זמן בדיקה זמן שימוש
(TOCTOU) פגיעויות הוא מציין.
יאיר מציין כי ברוב המקרים, ארגונים יכולים לשחזר קבצים שנמחקו. לכן, קבלת EDR למחיקת קבצים במערכת בפני עצמה - גם אם היא גרועה - היא לא המקרה הגרוע ביותר. "מחיקה היא לא בדיוק ניגוב", אומר יאיר. כדי להשיג זאת, יאיר עיצב את אייקידו כך שהוא יחליף קבצים שהוא מחק, מה שהופך אותם גם לבלתי ניתנים לשחזור.
לדבריו, הניצול שפיתח הוא דוגמה ליריב שמשתמש בכוחו של יריב נגדם - בדיוק כמו באומנות הלחימה האייקידו. למוצרי אבטחה, כמו כלי EDR, יש זכויות משתמש-על במערכות ויריב שמסוגל לעשות בהם שימוש לרעה יכול לבצע התקפות באופן כמעט בלתי ניתן לזיהוי. הוא משווה את הגישה ליריב שהופך את מערכת ההגנה מפני טילים "כיפת ברזל" של ישראל לוקטור התקפה במקום זאת.
