Антивирусное программное обеспечение может быть взломано для уничтожения данных
13 декабря 2022 г.Многие популярные части антивирусного ПО, такие как Microsoft, SentinelOne, TrendMicro, Avast и AVG, могут быть взломаны. за их возможности удаления данных, заявил ведущий исследователь кибербезопасности.
В доказательстве концепции документ, получивший название "Айкидо", Ор Яир, который работает в фирме по кибербезопасности SafeBreach, объяснил, как эксплойт работает через так называемую уязвимость «время проверки к времени использования» (TOCTOU).
Примечательно, что в боевых искусствах айкидо относится к японскому стилю, в котором практик пытается использовать движение и сила противника против самого себя.
Как это работает?
Эта уязвимость может использоваться для облегчения различных кибератак, известных как «вайперы», согласно Яиру, которые обычно используются в наступательных военных ситуациях.
В кибербезопасности вайпер — это класс вредоносное ПО, направленное на стирание жесткого диска заражаемого им компьютера, злонамеренное удаление данных и программ.
Согласно слайду, эксплойт перенаправляет «сверхсилу» программное обеспечение для обнаружения конечных точек для "удаления любого файла независимо от привилегий".
Полный описанный процесс включал создание вредоносного файла в "C:\temp\Windows\System32\drivers\ndis.sys".
За этим следует удержание его дескриптора и принудительное выполнение "AV/EDR для отсрочки удаления до следующей перезагрузки".
За этим следует удаление «каталога C:\temp» и «создание соединения в C:\temp --> C:\», после чего следует перезагрузка машины.
Пострадали только некоторые из самых популярных антивирусных брендов, около 50%, по словам Яира.
Согласно слайдам, подготовленным исследователем, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex Во-первых, Avast Antivirus и AVG Antivirus были затронуты этой уязвимостью.
К счастью для некоторых, такие продукты, как Palo Alto, XDR, Cylance, CrowdStrike, McAfee и BitDefender, не пострадали.
- Заинтересованы в обновлении инструментов кибербезопасности? Ознакомьтесь с нашим руководством по лучшим инструментам для удаления вредоносных программ
Оригинал