Mange EDR-teknologier (trusted endpoint detection and response) kan ha en sårbarhet i seg som gir angripere en måte å manipulere produktene til å slette praktisk talt alle data på installerte systemer.
Eller Yair, en sikkerhetsforsker ved SafeBreach som oppdaget problemet, testet 11 EDR-verktøy fra forskjellige leverandører og fant at seks av dem – fra totalt fire leverandører – var sårbare. De sårbare produktene var Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus og SentinelOne.
Formelle CVEer og patcher
Tre av leverandørene har tildelt formelle CVE-numre for feilene og utstedt patcher for dem før Yair avslørte problemet på Black Hat Europe-konferansen onsdag 7. desember.
Hos Black Hat ga Yair ut proof-of-concept-kode kalt Aikido som han utviklet for å demonstrere hvordan en visker, med bare tillatelsene til en uprivilegert bruker, kunne manipulere en sårbar EDR til å tørke nesten alle filer på systemet, inkludert systemfiler. "Vi var i stand til å utnytte disse sårbarhetene i mer enn 50 % av EDR- og AV-produktene vi testet, inkludert standard endepunktbeskyttelsesprodukt på Windows," sa Yair i en beskrivelse av Black Hat-foredraget. "Vi er heldige som har oppdaget dette før ekte angripere, siden disse verktøyene og sårbarhetene kunne ha gjort en mye skade faller i feil hender." Han beskrev vindusviskeren som sannsynligvis effektiv mot hundrevis av millioner av endepunkter som kjører EDR-versjoner som er sårbare for utnyttelsen.
I kommentarer til Dark Reading sier Yair at han rapporterte sårbarheten til de berørte leverandørene mellom juli og august. "Vi jobbet deretter tett med dem i løpet av de neste månedene for å lage en løsning før denne publikasjonen," sier han. "Tre av leverandørene ga ut nye versjoner av programvaren eller oppdateringene deres for å løse denne sårbarheten." Han identifiserte de tre leverandørene som Microsoft, TrendMicro og Gen, produsenten av Avast- og AVG-produktene. "Per i dag har vi ennå ikke mottatt bekreftelse fra SentinelOne om de offisielt har gitt ut en løsning," sier han.
Yair beskriver sårbarheten som å ha å gjøre med hvordan noen EDR-verktøy sletter skadelige filer. "Det er to avgjørende hendelser i denne prosessen med sletting," sier han. "Det er tidspunktet EDR oppdager en fil som ondsinnet og tidspunktet da filen faktisk slettes," som noen ganger kan kreve en omstart av systemet. Yair sier at han oppdaget at mellom disse to hendelsene har en angriper muligheten til å bruke det som er kjent som NTFS-krysspunkter for å lede EDR til å slette en annen fil enn den den identifiserte som ondsinnet.
NTFS-krysspunkter ligner på såkalte symbolske lenker, som er snarveisfiler til mapper og filer som ligger andre steder på et system, bortsett fra at veikryss brukes til å koble kataloger på forskjellige lokale volumer på et system.
Utløser problemet
Yair sier at for å utløse problemet på sårbare systemer, opprettet han først en ondsinnet fil – ved å bruke tillatelsene til en uprivilegert bruker – slik at EDR ville oppdage og forsøke å slette filen. Deretter fant han en måte å tvinge EDR til å utsette sletting til etter omstart, ved å holde den skadelige filen åpen. Det neste trinnet hans var å lage en C:TEMP-katalog på systemet, gjøre den til et knutepunkt til en annen katalog og rigge ting slik at når EDR-produktet forsøkte å slette den skadelige filen – etter omstart – fulgte det en bane til en annen fil helt. . Yair fant ut at han kunne bruke det samme trikset for å slette flere filer på forskjellige steder på en datamaskin ved å lage én katalogsnarvei og legge spesiallagde baner til målrettede filer i den, slik at EDR-produktet kan følge.
Yair sier at med noen av de testede EDR-produktene var han ikke i stand til å gjøre vilkårlig filsletting, men var i stand til å slette hele mapper i stedet.
Sårbarheten påvirker EDR-verktøy som utsetter sletting av skadelige filer til etter at systemet har startet på nytt. I disse tilfellene lagrer EDR-produktet banen til den skadelige filen på et sted – som varierer fra leverandør til – og bruker banen til å slette filen etter omstart. Yair sier at noen EDR-produkter ikke sjekker om banen til den skadelige filen fører til samme sted etter omstart, noe som gir angripere en måte å holde en plutselig snarvei midt på banen. Slike sårbarheter faller inn i en klasse kjent som Tidspunkt for sjekk Tidspunkt for bruk
(TOCTOU) sårbarheter han bemerker.
Yair bemerker at i de fleste tilfeller kan organisasjoner gjenopprette slettede filer. Så å få en EDR til å slette filer på et system av seg selv - selv om det er dårlig - er ikke det verste tilfellet. "En sletting er ikke akkurat en tørking," sier Yair. For å oppnå det designet Yair Aikido slik at den ville overskrive filer den hadde slettet, noe som gjør dem uopprettelige også.
Han sier at utnyttelsen han utviklet er et eksempel på en motstander som bruker en motstanders styrke mot dem – akkurat som med Aikido-kampsporten. Sikkerhetsprodukter, som EDR-verktøy, har superbrukerrettigheter på systemer og en motstander som er i stand til å misbruke dem kan utføre angrep på en praktisk talt uoppdagelig måte. Han sammenligner tilnærmingen med en motstander som gjør Israels berømte Iron Dome-missilforsvarssystem til en angrepsvektor i stedet.
