Многие технологии обнаружения и реагирования на доверенные конечные точки (EDR) могут иметь уязвимость, которая дает злоумышленникам возможность манипулировать продуктами для стирания практически любых данных в установленных системах.
Или Яир, исследователь безопасности из SafeBreach, который обнаружил проблему, протестировал 11 инструментов EDR от разных поставщиков и обнаружил, что шесть из них (всего от четырех поставщиков) уязвимы. Уязвимыми продуктами были Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus и SentinelOne.
Формальные CVE и исправления
Три поставщика присвоили ошибкам официальные номера CVE и выпустили для них исправления до того, как Яир раскрыл проблему на конференции Black Hat Europe в среду, 7 декабря.
В Black Hat Яир выпустил экспериментальный код, получивший название Aikido, который он разработал, чтобы продемонстрировать, как стиратель с разрешениями непривилегированного пользователя может манипулировать уязвимым EDR для стирания практически любого файла в системе, включая системные файлы. «Нам удалось использовать эти уязвимости в более чем 50% протестированных нами продуктов EDR и AV, включая стандартный продукт для защиты конечных точек в Windows», — сказал Яир в описании своего выступления в Black Hat. «Нам повезло, что это было обнаружено раньше, чем настоящие злоумышленники, поскольку эти инструменты и уязвимости могли нанести серьезный ущерб. много повреждений попасть не в те руки». Он описал стеклоочиститель вероятно, эффективен против сотен миллионов конечных точек, на которых работают версии EDR, уязвимые для эксплойта.
В комментариях к Dark Reading Яир говорит, что сообщал об уязвимости пострадавшим поставщикам в период с июля по август. «Затем мы тесно сотрудничали с ними в течение следующих нескольких месяцев над созданием исправления перед этой публикацией», — говорит он. «Три поставщика выпустили новые версии своего программного обеспечения или исправления для устранения этой уязвимости». Он назвал трех поставщиков Microsoft, TrendMicro и Gen, производителя продуктов Avast и AVG. «На сегодняшний день мы еще не получили подтверждения от SentinelOne о том, выпустили ли они официально исправление», — говорит он.
Яир описывает уязвимость как связанную с тем, как некоторые инструменты EDR удаляют вредоносные файлы. «В этом процессе удаления есть два важных события, — говорит он. «Есть время, когда EDR обнаруживает файл как вредоносный, и время, когда файл фактически удаляется», что иногда может потребовать перезагрузки системы. По словам Яира, он обнаружил, что между этими двумя событиями у злоумышленника есть возможность использовать так называемые точки соединения NTFS, чтобы направить EDR на удаление файла, отличного от того, который он идентифицировал как вредоносный.
Точки соединения NTFS аналогичны так называемым символические ссылки, которые являются ярлыками для папок и файлов, расположенных в другом месте системы, за исключением того, что соединения используются для связать каталоги на разных локальных томах в системе.
Запуск проблемы
Яир говорит, что для того, чтобы вызвать проблему в уязвимых системах, он сначала создал вредоносный файл, используя разрешения непривилегированного пользователя, чтобы EDR обнаружил и попытался удалить файл. Затем он нашел способ заставить EDR отложить удаление до перезагрузки, оставив вредоносный файл открытым. Следующим его шагом было создание каталога C:TEMP в системе, превращение его в переход к другому каталогу и настройка таким образом, чтобы при попытке продукта EDR удалить вредоносный файл — после перезагрузки — он следовал по пути к другому файлу. . Яир обнаружил, что может использовать тот же трюк для удаления нескольких файлов в разных местах на компьютере, создав один ярлык каталога и поместив в него специально созданные пути к целевым файлам, чтобы продукт EDR мог следовать.
Яир говорит, что с некоторыми протестированными продуктами EDR он не мог произвольно удалять файлы, но вместо этого мог удалять целые папки.
Уязвимость затрагивает инструменты EDR, которые откладывают удаление вредоносных файлов до перезагрузки системы. В этих случаях продукт EDR сохраняет путь к вредоносному файлу в каком-либо месте (зависит от поставщика) и использует этот путь для удаления файла после перезагрузки. Яир говорит, что некоторые продукты EDR не проверяют, ведет ли путь к вредоносному файлу в одно и то же место после перезагрузки, что дает злоумышленникам возможность внезапно вставить ярлык в середине пути. Такие уязвимости относятся к классу, известному как Время проверки Время использования
(TOCTOU) уязвимости, которые он отмечает.
Яир отмечает, что в большинстве случаев организации могут восстановить удаленные файлы. Таким образом, получение EDR для удаления файлов в системе само по себе — хотя это и плохо — не самый худший случай. «Удаление — это не совсем стирание», — говорит Яир. Чтобы добиться этого, Яир разработал Айкидо таким образом, чтобы оно перезаписывало удаленные им файлы, что также делало их невосстановимыми.
Он говорит, что разработанный им эксплойт является примером того, как противник использует против себя силу противника — так же, как и в боевом искусстве айкидо. Продукты безопасности, такие как инструменты EDR, имеют права суперпользователя в системах, и злоумышленник, который может злоупотреблять ими, может выполнять атаки практически незаметным образом. Он сравнивает этот подход с тем, что противник вместо этого превращает знаменитую израильскую систему противоракетной обороны «Железный купол» в вектор атаки.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
