Številne tehnologije zaznavanja in odzivanja zaupanja vrednih končnih točk (EDR) imajo lahko v sebi ranljivost, ki napadalcem omogoča, da z izdelki manipulirajo tako, da izbrišejo skoraj vse podatke v nameščenih sistemih.
Ali Yair, varnostni raziskovalec pri SafeBreachu, ki je odkril težavo, testiral 11 orodij EDR različnih proizvajalcev in ugotovil, da jih je šest – od skupno štirih prodajalcev – ranljivih. Ranljivi izdelki so bili Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus in SentinelOne.
Formalni CVE-ji in popravki
Trije prodajalci so hroščem dodelili uradne številke CVE in izdali popravke zanje, preden je Yair razkril težavo na konferenci Black Hat Europe v sredo, 7. decembra.
Pri Black Hatu je Yair izdal kodo za dokaz koncepta, imenovano Aikido, ki jo je razvil, da bi pokazal, kako lahko brisalec samo z dovoljenji neprivilegiranega uporabnika manipulira z ranljivim EDR v brisanje skoraj vseh datotek v sistemu, vključno s sistemskimi datotekami. »Te ranljivosti smo lahko izkoristili v več kot 50 % izdelkov EDR in AV, ki smo jih testirali, vključno s privzetim izdelkom za zaščito končne točke v sistemu Windows,« je dejal Yair v opisu svojega govora Black Hat. »Imamo srečo, da smo to odkrili pred pravimi napadalci, saj bi ta orodja in ranljivosti lahko naredile veliko škode padel v napačne roke." On opisal brisalec verjetno učinkovit proti stotinam milijonov končnih točk, ki izvajajo različice EDR, ki so ranljive za izkoriščanje.
V komentarjih za Dark Reading Yair pravi, da je o ranljivosti poročal prizadetim prodajalcem med julijem in avgustom. »Nato smo v naslednjih nekaj mesecih tesno sodelovali z njimi pri ustvarjanju popravka pred to objavo,« pravi. "Trije od prodajalcev so izdali nove različice svoje programske opreme ali popravke za odpravljanje te ranljivosti." Identificiral je tri prodajalce kot Microsoft, TrendMicro in Gen, proizvajalca izdelkov Avast in AVG. »Do danes od SentinelOne še nismo prejeli potrditve o tem, ali so uradno izdali popravek,« pravi.
Yair opisuje ranljivost kot povezano s tem, kako nekatera orodja EDR izbrišejo zlonamerne datoteke. "V tem procesu izbrisa sta dva ključna dogodka," pravi. »Obstaja čas, ko EDR zazna datoteko kot zlonamerno, in čas, ko je datoteka dejansko izbrisana,« kar lahko včasih zahteva ponovni zagon sistema. Yair pravi, da je odkril, da ima napadalec med tema dvema dogodkoma priložnost uporabiti tisto, kar je znano kot stičišča NTFS, da usmeri EDR, da izbriše drugo datoteko kot tisto, ki jo je identificiral kot zlonamerno.
Stičišča NTFS so podobne t.i simbolne povezave, ki so datoteke bližnjice do map in datotek, ki se nahajajo drugje v sistemu, le da se povezave uporabljajo za imenike povezav na različnih lokalnih nosilcih na sistemu.
Sprožitev težave
Yair pravi, da je za sprožitev težave na ranljivih sistemih najprej ustvaril zlonamerno datoteko – z uporabo dovoljenj neprivilegiranega uporabnika – da bi EDR zaznal in poskusil izbrisati datoteko. Nato je našel način, kako prisiliti EDR, da odloži brisanje do ponovnega zagona, tako da pusti zlonamerno datoteko odprto. Njegov naslednji korak je bil ustvariti imenik C:TEMP v sistemu, ga narediti za povezavo z drugim imenikom in namestiti stvari, tako da je izdelek EDR, ko je poskušal izbrisati zlonamerno datoteko – po vnovičnem zagonu – sledil poti do povsem druge datoteke. . Yair je ugotovil, da bi lahko isti trik uporabil za brisanje več datotek na različnih mestih v računalniku, tako da bi ustvaril eno bližnjico do imenika in vanjo vnesel posebej oblikovane poti do ciljnih datotek, da bi sledil izdelek EDR.
Yair pravi, da z nekaterimi preizkušenimi izdelki EDR ni mogel narediti poljubnega brisanja datotek, ampak je namesto tega lahko izbrisal cele mape.
Ranljivost vpliva na orodja EDR, ki odložijo brisanje zlonamernih datotek do ponovnega zagona sistema. V teh primerih izdelek EDR shrani pot do zlonamerne datoteke na neko lokacijo – ta se razlikuje glede na prodajalca – in uporabi pot za brisanje datoteke po ponovnem zagonu. Yair pravi, da nekateri izdelki EDR ne preverjajo, ali pot do zlonamerne datoteke po vnovičnem zagonu vodi na isto mesto, kar napadalcem omogoči, da na sredino poti nenadoma nastavijo bližnjico. Takšne ranljivosti spadajo v razred, znan kot Čas preverjanja Čas uporabe
(TOCTOU) ranljivosti, ki jih ugotavlja.
Yair ugotavlja, da lahko organizacije v večini primerov obnovijo izbrisane datoteke. Torej pridobitev EDR za brisanje datotek v sistemu sama po sebi – čeprav je slaba – ni najslabši primer. »Izbris ni ravno brisanje,« pravi Yair. Da bi to dosegel, je Yair zasnoval Aikido tako, da bi prepisal datoteke, ki jih je izbrisal, zaradi česar jih tudi ni bilo mogoče obnoviti.
Pravi, da je podvig, ki ga je razvil, primer nasprotnika, ki proti sebi uporablja moč nasprotnika – tako kot pri borilni veščini aikido. Varnostni izdelki, kot so orodja EDR, imajo pravice super uporabnika v sistemih in nasprotnik, ki jih lahko zlorabi, lahko izvede napade na tako rekoč nezaznaven način. Pristop primerja z nasprotnikom, ki slavni izraelski protiraketni obrambni sistem Iron Dome spremeni v vektor napada.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
