Nhiều công nghệ phát hiện và phản hồi điểm cuối đáng tin cậy (EDR) có thể có lỗ hổng bảo mật giúp kẻ tấn công có thể thao túng sản phẩm để xóa hầu như mọi dữ liệu trên các hệ thống đã cài đặt.
Hoặc Yair, một nhà nghiên cứu bảo mật tại SafeBreach, người đã phát hiện ra vấn đề này, đã thử nghiệm 11 công cụ EDR từ các nhà cung cấp khác nhau và nhận thấy XNUMX công cụ trong số đó—trong tổng số XNUMX nhà cung cấp—dễ bị tấn công. Các sản phẩm dễ bị tấn công là Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus và SentinelOne.
CVE chính thức và các bản vá lỗi
Ba trong số các nhà cung cấp đã chỉ định số CVE chính thức cho các lỗi và phát hành các bản vá cho chúng trước khi Yair tiết lộ vấn đề tại hội nghị Black Hat Europe vào thứ Tư, ngày 7 tháng XNUMX.
Tại Black Hat, Yair đã phát hành mã chứng minh khái niệm có tên là Aikido mà anh đã phát triển để chứng minh cách một trình xóa sạch, chỉ với quyền của người dùng không có đặc quyền, có thể thao túng EDR dễ bị tấn công để xóa hầu hết mọi tệp trên hệ thống, bao gồm cả các tệp hệ thống. “Chúng tôi có thể khai thác những lỗ hổng này trong hơn 50% sản phẩm EDR và AV mà chúng tôi đã thử nghiệm, bao gồm cả sản phẩm bảo vệ điểm cuối mặc định trên Windows,” Yair cho biết trong phần mô tả về bài nói chuyện Mũ Đen của mình. “Chúng tôi thật may mắn khi điều này được phát hiện trước những kẻ tấn công thực sự, vì những công cụ và lỗ hổng này có thể đã thực hiện một nhiều thiệt hại rơi vào tay kẻ xấu.” Anh ta mô tả cái gạt nước có khả năng hiệu quả đối với hàng trăm triệu điểm cuối chạy các phiên bản EDR dễ bị khai thác.
Trong bình luận gửi cho Dark Reading, Yair cho biết ông đã báo cáo lỗ hổng này cho các nhà cung cấp bị ảnh hưởng trong khoảng thời gian từ tháng 7 đến tháng 8. Ông nói: “Sau đó, chúng tôi đã làm việc chặt chẽ với họ trong vài tháng tiếp theo để tạo ra bản sửa lỗi trước khi xuất bản lần này”. “Ba trong số các nhà cung cấp đã phát hành phiên bản phần mềm hoặc bản vá mới của họ để giải quyết lỗ hổng này.” Ông xác định ba nhà cung cấp là Microsoft, TrendMicro và Gen, nhà sản xuất các sản phẩm Avast và AVG. Ông nói: “Cho đến hôm nay, chúng tôi vẫn chưa nhận được xác nhận từ SentinelOne về việc liệu họ có chính thức phát hành bản sửa lỗi hay không”.
Yair mô tả lỗ hổng này liên quan đến cách một số công cụ EDR xóa các tệp độc hại. “Có hai sự kiện quan trọng trong quá trình xóa này,” ông nói. “Có thời điểm EDR phát hiện một tệp là độc hại và có thời điểm tệp đó thực sự bị xóa”, đôi khi có thể yêu cầu khởi động lại hệ thống. Yair cho biết, anh phát hiện ra rằng giữa hai sự kiện này, kẻ tấn công có cơ hội sử dụng cái được gọi là điểm nối NTFS để hướng dẫn EDR xóa một tệp khác với tệp mà nó xác định là độc hại.
Các điểm nối NTFS tương tự như cái gọi là liên kết tượng trưng, là các tệp lối tắt đến các thư mục và tệp nằm ở nơi khác trên hệ thống, ngoại trừ các đường nối được sử dụng để liên kết các thư mục trên các ổ cục bộ khác nhau trên một hệ thống.
Kích hoạt vấn đề
Yair cho biết để gây ra sự cố trên các hệ thống dễ bị tấn công, trước tiên anh ta tạo một tệp độc hại—sử dụng quyền của người dùng không có đặc quyền—để EDR sẽ phát hiện và cố gắng xóa tệp đó. Sau đó, anh ta tìm ra cách buộc EDR trì hoãn việc xóa cho đến khi khởi động lại, bằng cách giữ tệp độc hại mở. Bước tiếp theo của anh ấy là tạo một thư mục C:TEMP trên hệ thống, biến nó thành một đường nối đến một thư mục khác và xử lý mọi thứ để khi sản phẩm EDR cố gắng xóa tệp độc hại—sau khi khởi động lại—nó sẽ đi theo một đường dẫn đến một tệp khác hoàn toàn . Yair nhận thấy anh có thể sử dụng thủ thuật tương tự để xóa nhiều tệp ở những vị trí khác nhau trên máy tính bằng cách tạo một lối tắt thư mục và đặt các đường dẫn được tạo đặc biệt đến các tệp được nhắm mục tiêu trong đó để sản phẩm EDR đi theo.
Yair nói rằng với một số sản phẩm EDR đã thử nghiệm, anh ấy không thể xóa tệp tùy ý nhưng thay vào đó có thể xóa toàn bộ thư mục.
Lỗ hổng này ảnh hưởng đến các công cụ EDR làm trì hoãn việc xóa các tệp độc hại cho đến khi hệ thống khởi động lại. Trong những trường hợp này, sản phẩm EDR lưu trữ đường dẫn đến tệp độc hại ở một số vị trí—thay đổi tùy theo nhà cung cấp—và sử dụng đường dẫn để xóa tệp sau khi khởi động lại. Yair cho biết một số sản phẩm EDR không kiểm tra xem đường dẫn đến tệp độc hại có dẫn đến cùng một vị trí sau khi khởi động lại hay không, tạo cơ hội cho kẻ tấn công tạo một lối tắt bất ngờ ở giữa đường dẫn. Những lỗ hổng như vậy rơi vào một lớp được gọi là Thời gian kiểm tra Thời gian sử dụng
(TOCTOU) anh ấy lưu ý.
Yair lưu ý rằng trong hầu hết các trường hợp, các tổ chức có thể khôi phục các tệp đã xóa. Vì vậy, việc nhận EDR để tự xóa các tệp trên hệ thống — mặc dù lỗi — không phải là trường hợp xấu nhất. Yair nói: “Xóa không hẳn là xóa sạch. Để đạt được điều đó, Yair đã thiết kế Aikido để nó có thể ghi đè lên các tập tin đã xóa khiến chúng không thể phục hồi được.
Anh ấy nói rằng chiến công mà anh ấy phát triển là một ví dụ về việc đối thủ sử dụng sức mạnh của đối thủ để chống lại họ—cũng giống như võ thuật Aikido. Các sản phẩm bảo mật, chẳng hạn như công cụ EDR có quyền siêu người dùng trên hệ thống và kẻ thù có khả năng lạm dụng chúng có thể thực hiện các cuộc tấn công theo cách hầu như không thể phát hiện được. Ông ví cách tiếp cận này giống như việc một đối thủ biến hệ thống phòng thủ tên lửa Iron Dome nổi tiếng của Israel thành một phương tiện tấn công.
