Wiele zaufanych technologii wykrywania i reagowania na punkty końcowe (EDR) może zawierać luki, które umożliwiają atakującym manipulowanie produktami w celu usunięcia praktycznie wszystkich danych z zainstalowanych systemów.
Lub Yair, badacz bezpieczeństwa w firmie SafeBreach, który odkrył problem, przetestował 11 narzędzi EDR pochodzących od różnych dostawców i stwierdził, że sześć z nich — w sumie od czterech dostawców — jest podatnych na ataki. Produkty podatne na ataki to Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus i SentinelOne.
Formalne CVE i poprawki
Trzech dostawców nadało błędom oficjalne numery CVE i wydało dla nich łatki, zanim Yair ujawnił problem na konferencji Black Hat Europe w środę, 7 grudnia.
W Black Hat Yair opublikował kod sprawdzający koncepcję nazwany Aikido, który opracował, aby zademonstrować, w jaki sposób wycieraczka, mając tylko uprawnienia nieuprzywilejowanego użytkownika, może manipulować wrażliwym EDR, aby wyczyścił prawie każdy plik w systemie, w tym pliki systemowe. „Byliśmy w stanie wykorzystać te luki w ponad 50% testowanych przez nas produktów EDR i AV, w tym w domyślnym produkcie do ochrony punktów końcowych w systemie Windows” — powiedział Yair w opisie swojego przemówienia w Black Hat. „Mamy szczęście, że wykryto to przed prawdziwymi atakującymi, ponieważ te narzędzia i luki w zabezpieczeniach mogły zrobić dużo szkód wpaść w niepowołane ręce”. On opisał wycieraczkę prawdopodobnie skuteczny przeciwko setkom milionów punktów końcowych z wersjami EDR podatnymi na exploit.
W komentarzach do Dark Reading, Yair mówi, że zgłosił lukę dotkniętym dostawcom między lipcem a sierpniem. „Następnie przez kilka następnych miesięcy ściśle z nimi współpracowaliśmy nad stworzeniem poprawki przed tą publikacją” — mówi. „Trzech dostawców wydało nowe wersje swojego oprogramowania lub poprawki, które eliminują tę lukę”. Zidentyfikował trzech dostawców: Microsoft, TrendMicro i Gen, producenta produktów Avast i AVG. „Na dzień dzisiejszy nie otrzymaliśmy jeszcze potwierdzenia od SentinelOne, czy oficjalnie wydali poprawkę” – mówi.
Yair opisuje lukę jako mającą związek z tym, jak niektóre narzędzia EDR usuwają złośliwe pliki. „Istnieją dwa kluczowe wydarzenia w tym procesie usuwania” – mówi. „Jest czas, w którym EDR wykrywa plik jako złośliwy i czas, w którym plik jest faktycznie usuwany”, co czasami może wymagać ponownego uruchomienia systemu. Yair mówi, że odkrył, że pomiędzy tymi dwoma wydarzeniami atakujący ma możliwość wykorzystania tak zwanych punktów połączeń NTFS, aby nakazać EDR usunięcie innego pliku niż ten, który zidentyfikował jako złośliwy.
Punkty połączeń NTFS są podobne do tzw linki symboliczne, które są plikami skrótów do folderów i plików znajdujących się w innym miejscu w systemie, z wyjątkiem tego, do czego przyzwyczajone są połączenia katalogi linków na różnych woluminach lokalnych w systemie.
Wywoływanie problemu
Yair mówi, że aby wywołać problem w systemach wrażliwych, najpierw stworzył złośliwy plik — korzystając z uprawnień nieuprzywilejowanego użytkownika — aby EDR wykrył i próbował usunąć plik. Następnie znalazł sposób, aby zmusić EDR do odroczenia usunięcia do momentu ponownego uruchomienia, utrzymując szkodliwy plik otwarty. Następnym krokiem było utworzenie katalogu C:TEMP w systemie, uczynienie z niego połączenia z innym katalogiem i skonfigurowanie rzeczy tak, aby produkt EDR próbował usunąć szkodliwy plik — po ponownym uruchomieniu — podążał ścieżką do zupełnie innego pliku . Yair odkrył, że może zastosować tę samą sztuczkę, aby usunąć wiele plików w różnych miejscach na komputerze, tworząc jeden skrót do katalogu i umieszczając w nim specjalnie spreparowane ścieżki do docelowych plików, aby produkt EDR mógł podążać.
Yair mówi, że w przypadku niektórych testowanych produktów EDR nie był w stanie usunąć dowolnego pliku, ale zamiast tego mógł usunąć całe foldery.
Luka dotyczy narzędzi EDR, które odkładają usunięcie złośliwych plików do czasu ponownego uruchomienia systemu. W takich przypadkach produkt EDR przechowuje ścieżkę do złośliwego pliku w określonej lokalizacji — która różni się w zależności od dostawcy — i używa tej ścieżki do usunięcia pliku po ponownym uruchomieniu. Yair mówi, że niektóre produkty EDR nie sprawdzają, czy ścieżka do złośliwego pliku prowadzi do tego samego miejsca po restarcie, dając atakującym możliwość umieszczenia nagłego skrótu na środku ścieżki. Takie luki należą do klasy znanej jako Czas sprawdzenia Czas użytkowania
(TOCTOU) zauważa luki w zabezpieczeniach.
Yair zauważa, że w większości przypadków organizacje mogą odzyskać usunięte pliki. Tak więc nakłonienie EDR do samodzielnego usunięcia plików w systemie - choć złe - nie jest najgorszym przypadkiem. „Usunięcie nie jest dokładnie wyczyszczeniem” — mówi Yair. Aby to osiągnąć, Yair zaprojektował Aikido tak, aby nadpisywał usunięte przez siebie pliki, czyniąc je również niemożliwymi do odzyskania.
Mówi, że exploit, który opracował, jest przykładem przeciwnika wykorzystującego siłę przeciwnika przeciwko niemu - tak jak w przypadku sztuki walki Aikido. Produkty zabezpieczające, takie jak narzędzia EDR, mają uprawnienia superużytkownika w systemach, a przeciwnik, który jest w stanie ich nadużywać, może przeprowadzać ataki w praktycznie niewykrywalny sposób. Porównuje podejście przeciwnika do zamiany słynnego izraelskiego systemu obrony przeciwrakietowej Żelazna Kopuła w wektor ataku.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
