สำหรับผู้โจมตีทางไซเบอร์ เครื่องมือ EDR ยอดนิยมสามารถกลายเป็นตัวทำลายข้อมูลได้

เทคโนโลยีการตรวจจับและตอบสนองปลายทาง (EDR) ที่เชื่อถือได้จำนวนมากอาจมีช่องโหว่ซึ่งทำให้ผู้โจมตีมีวิธีการจัดการกับผลิตภัณฑ์เพื่อลบข้อมูลแทบทุกอย่างบนระบบที่ติดตั้ง

หรือ Yair นักวิจัยด้านความปลอดภัยที่ SafeBreach ผู้ค้นพบปัญหานี้ ได้ทดสอบเครื่องมือ EDR 11 รายการจากผู้ขายหลายราย และพบว่ามีช่องโหว่ XNUMX รายการจากผู้จำหน่ายทั้งหมด XNUMX ราย ผลิตภัณฑ์ที่มีความเสี่ยง ได้แก่ Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus และ SentinelOne

CVEs และแพทช์ที่เป็นทางการ

ผู้ค้าสามรายได้กำหนดหมายเลข CVE อย่างเป็นทางการสำหรับข้อบกพร่องและออกแพทช์ให้พวกเขาก่อนที่ Yair จะเปิดเผยปัญหาในการประชุม Black Hat Europe ในวันพุธที่ 7 ธันวาคม

ที่ Black Hat Yair ได้เปิดตัวรหัสพิสูจน์แนวคิดที่มีชื่อว่า Aikido ที่เขาพัฒนาขึ้นเพื่อแสดงให้เห็นว่า Wiper ที่ได้รับอนุญาตจากผู้ใช้ที่ไม่ได้รับสิทธิพิเศษสามารถจัดการกับ EDR ที่มีช่องโหว่ในการลบไฟล์เกือบทุกชนิดบนระบบได้อย่างไร รวมถึงไฟล์ระบบด้วย “เราสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ในผลิตภัณฑ์ EDR และ AV มากกว่า 50% ที่เราทดสอบ รวมถึงผลิตภัณฑ์ป้องกันปลายทางเริ่มต้นบน Windows” Yair กล่าวในคำอธิบายของการพูดคุยเรื่อง Black Hat “เราโชคดีที่ค้นพบสิ่งนี้ก่อนผู้โจมตีตัวจริง เนื่องจากเครื่องมือและช่องโหว่เหล่านี้อาจทำ ความเสียหายจำนวนมาก ตกไปอยู่ในมือคนชั่ว” เขา อธิบายที่ปัดน้ำฝน มีแนวโน้มที่จะมีผลกับเอ็นด์พอยต์หลายร้อยล้านตัวที่ใช้เวอร์ชัน EDR ซึ่งเสี่ยงต่อการถูกโจมตี

ในความคิดเห็นต่อ Dark Reading Yair กล่าวว่าเขาได้รายงานช่องโหว่ไปยังผู้ขายที่ได้รับผลกระทบระหว่างเดือนกรกฎาคมถึงสิงหาคม “จากนั้นเราทำงานอย่างใกล้ชิดกับพวกเขาตลอดหลายเดือนข้างหน้าเพื่อสร้างวิธีแก้ไขก่อนที่จะมีการเผยแพร่นี้” เขากล่าว “ผู้จำหน่ายสามรายได้เปิดตัวซอฟต์แวร์หรือแพตช์เวอร์ชันใหม่เพื่อแก้ไขช่องโหว่นี้” เขาระบุผู้จำหน่ายสามรายคือ Microsoft, TrendMicro และ Gen ซึ่งเป็นผู้ผลิตผลิตภัณฑ์ Avast และ AVG “ ณ วันนี้ เรายังไม่ได้รับคำยืนยันจาก SentinelOne ว่าพวกเขาได้เปิดตัวการแก้ไขอย่างเป็นทางการแล้วหรือไม่” เขากล่าว

Yair อธิบายว่าช่องโหว่นี้เกี่ยวข้องกับวิธีที่เครื่องมือ EDR บางตัวลบไฟล์ที่เป็นอันตราย “มีเหตุการณ์สำคัญสองเหตุการณ์ในกระบวนการลบนี้” เขากล่าว “มีเวลาที่ EDR ตรวจพบไฟล์ว่าเป็นอันตราย และเวลาที่ไฟล์ถูกลบจริง ๆ” ซึ่งบางครั้งอาจต้องรีบูทระบบ Yair กล่าวว่าเขาค้นพบว่าระหว่างเหตุการณ์ทั้งสองนี้ ผู้โจมตีมีโอกาสที่จะใช้สิ่งที่เรียกว่าจุดเชื่อมต่อ NTFS เพื่อสั่งให้ EDR ลบไฟล์อื่นที่ไม่ใช่ไฟล์ที่ถูกระบุว่าเป็นอันตราย

จุดเชื่อมต่อ NTFS คล้ายกับที่เรียกว่า ลิงก์สัญลักษณ์ซึ่งเป็นไฟล์ทางลัดไปยังโฟลเดอร์และไฟล์ที่อยู่ที่อื่นบนระบบ ยกเว้นว่ามีการใช้จุดเชื่อมต่อ เชื่อมโยงไดเร็กทอรีบนโลคัลวอลุ่มต่างๆ บนระบบ

ทริกเกอร์ปัญหา

Yair กล่าวว่าเพื่อก่อให้เกิดปัญหากับระบบที่มีช่องโหว่ เขาได้สร้างไฟล์ที่เป็นอันตรายขึ้นมาก่อน โดยใช้สิทธิ์ของผู้ใช้ที่ไม่มีสิทธิ์ ดังนั้น EDR จะตรวจจับและพยายามลบไฟล์นั้น จากนั้นเขาก็พบวิธีบังคับให้ EDR เลื่อนการลบออกไปจนกว่าจะรีบูต โดยเปิดไฟล์ที่เป็นอันตรายไว้ ขั้นตอนต่อไปของเขาคือการสร้างไดเร็กทอรี C:TEMP บนระบบ ทำให้เป็นทางแยกไปยังไดเร็กทอรีอื่นและควบคุมสิ่งต่าง ๆ ดังนั้นเมื่อผลิตภัณฑ์ EDR พยายามลบไฟล์ที่เป็นอันตราย—หลังจากรีบูต—มันจะตามเส้นทางไปยังไฟล์อื่นโดยสิ้นเชิง . Yair พบว่าเขาสามารถใช้เคล็ดลับเดียวกันนี้เพื่อลบไฟล์หลายไฟล์ในที่ต่างๆ บนคอมพิวเตอร์เครื่องหนึ่ง โดยการสร้างทางลัดไดเรกทอรีเดียว และวางเส้นทางที่สร้างขึ้นเป็นพิเศษไปยังไฟล์เป้าหมายที่อยู่ภายใน เพื่อให้ผลิตภัณฑ์ EDR ปฏิบัติตาม

Yair กล่าวว่าด้วยผลิตภัณฑ์ EDR ที่ผ่านการทดสอบบางรายการ เขาไม่สามารถลบไฟล์ตามอำเภอใจได้ แต่สามารถลบทั้งโฟลเดอร์แทนได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อเครื่องมือ EDR ที่จะเลื่อนการลบไฟล์ที่เป็นอันตรายออกไปจนกว่าระบบจะรีบูต ในกรณีเหล่านี้ ผลิตภัณฑ์ EDR จะจัดเก็บเส้นทางไปยังไฟล์ที่เป็นอันตรายในบางตำแหน่ง ซึ่งแตกต่างกันไปตามผู้จำหน่าย และใช้เส้นทางเพื่อลบไฟล์หลังจากรีบูตเครื่อง Yair กล่าวว่าผลิตภัณฑ์ EDR บางตัวไม่ได้ตรวจสอบว่าเส้นทางไปยังไฟล์ที่เป็นอันตรายนำไปสู่ตำแหน่งเดิมหรือไม่หลังจากรีบูต ทำให้ผู้โจมตีมีวิธีติดทางลัดกะทันหันตรงกลางเส้นทาง ช่องโหว่ดังกล่าวจัดอยู่ในประเภทที่เรียกว่า เวลาตรวจสอบ เวลาใช้งาน
(TOCTOU) ช่องโหว่ที่เขาบันทึกไว้

Yair ตั้งข้อสังเกตว่าในกรณีส่วนใหญ่ องค์กรสามารถกู้คืนไฟล์ที่ถูกลบได้ ดังนั้น การให้ EDR ลบไฟล์บนระบบด้วยตัวเอง แม้จะแย่ แต่ก็ไม่ใช่กรณีที่แย่ที่สุด “การลบไม่ใช่การล้างข้อมูลอย่างแน่นอน” Yair กล่าว เพื่อให้บรรลุเป้าหมายดังกล่าว Yair ได้ออกแบบ Aikido เพื่อที่จะเขียนทับไฟล์ที่ถูกลบออกไป ทำให้ไม่สามารถกู้คืนได้เช่นกัน

เขากล่าวว่าการหาประโยชน์ที่เขาพัฒนาขึ้นเป็นตัวอย่างของฝ่ายตรงข้ามที่ใช้ความแข็งแกร่งของคู่ต่อสู้ต่อพวกเขา เช่นเดียวกับศิลปะการต่อสู้แบบไอคิโด ผลิตภัณฑ์รักษาความปลอดภัย เช่น เครื่องมือ EDR มีสิทธิ์ของผู้ใช้ขั้นสูงในระบบ และฝ่ายตรงข้ามที่สามารถใช้งานในทางที่ผิดสามารถดำเนินการโจมตีในลักษณะที่แทบจะตรวจไม่พบ เขาเปรียบเทียบแนวทางนี้กับฝ่ายตรงข้ามที่เปลี่ยนระบบป้องกันขีปนาวุธ Iron Dome อันโด่งดังของอิสราเอลให้กลายเป็นเวกเตอร์การโจมตีแทน