Microsoft и еще три компании выпустили патчи для устранения уязвимости в своих продуктах, которая позволяет проводить такие манипуляции. Другие продукты EDR также потенциально могут быть затронуты.
Многие надежные технологии обнаружения и реагирования на конечных точках (EDR) могут иметь уязвимость, которая дает злоумышленникам возможность манипулировать продуктами для стирания практически любых данных на установленных системах.
Ор Яир, исследователь безопасности из компании SafeBreach, обнаруживший эту проблему, протестировал 11 инструментов EDR от разных производителей и обнаружил, что шесть из них - в общей сложности от четырех производителей - уязвимы. Уязвимыми оказались продукты Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus и SentinelOne.
Официальные CVE и исправления.
Три поставщика присвоили ошибкам официальные номера CVE и выпустили для них исправления до того, как Яир раскрыл проблему на конференции Black Hat Europe в среду, 7 декабря.
На Black Hat Яир обнародовал код доказательства концепции, получивший название Aikido, который он разработал, чтобы продемонстрировать, как чистильщик, имея только права непривилегированного пользователя, может манипулировать уязвимым EDR для стирания практически любого файла в системе, включая системные файлы. «Мы смогли использовать эти уязвимости в более чем 50% протестированных нами продуктов EDR и AV, включая продукт защиты конечных точек по умолчанию в Windows» - заявил Яир в описании своего выступления на Black Hat. «Нам повезло, что это было обнаружено до появления реальных злоумышленников, поскольку эти инструменты и уязвимости могли бы нанести большой ущерб, попав не в те руки». Он описал, что чистильщик может быть эффективен против сотен миллионов конечных точек, на которых установлены версии EDR, уязвимые к эксплойту.
В комментариях для Dark Reading Яир отметил, что сообщил об уязвимости затронутым поставщикам в июле-августе. «Затем мы тесно сотрудничали с ними в течение следующих нескольких месяцев над созданием исправления до этой публикации» - говорит он. «Три поставщика выпустили новые версии своего программного обеспечения или исправления для устранения этой уязвимости». Он называет трех поставщиков: Microsoft, TrendMicro и Gen, производителя продуктов Avast и AVG. «На сегодняшний день мы еще не получили подтверждения от SentinelOne о том, выпустили ли они официальное исправление».
Яир описывает уязвимость как связанную со способом, которым некоторые инструменты EDR удаляют вредоносные файлы. «В этом процессе удаления есть два решающих события. Это время, когда EDR определяет файл как вредоносный, и время, когда файл действительно удаляется, что иногда может потребовать перезагрузки системы». По словам Яира, он обнаружил, что между этими двумя событиями у злоумышленника есть возможность использовать так называемые точки пересечения NTFS, чтобы направить EDR на удаление другого файла, а не того, который он определил как вредоносный.
Точки пересечения NTFS похожи на так называемые символические ссылки, которые представляют собой файлы быстрого доступа к папкам и файлам, расположенным в других местах системы, за исключением того, что точки пересечения используются для связи каталогов на разных локальных томах системы.
Срабатывание эксплоита.
Яир говорит, что для запуска атаки на уязвимых системах он сначала создал вредоносный файл - с правами непривилегированного пользователя - так, чтобы EDR обнаружил и попытался удалить этот файл. Затем он нашел способ заставить EDR отложить удаление до перезагрузки, сохранив вредоносный файл открытым. Следующим шагом было создание в системе каталога C:\TEMP\, создание в нем перехода к другому каталогу и создание такой конфигурации, что когда продукт EDR пытался удалить вредоносный файл - после перезагрузки - он следовал по пути к другому файлу. Яир обнаружил, что может использовать тот же трюк для удаления нескольких файлов в разных местах на компьютере, создав ярлык одного каталога и поместив в него специально созданные пути к целевым файлам, по которым будет следовать продукт EDR.
Яир сообщает, что с некоторыми из протестированных продуктов EDR он не смог произвести произвольное удаление файлов, но смог удалить целые папки.
Уязвимость затрагивает инструменты EDR, которые откладывают удаление вредоносных файлов до перезагрузки системы. В таких случаях продукт EDR сохраняет путь к вредоносному файлу в каком-то месте - это зависит от производителя - и использует этот путь для удаления файла после перезагрузки. Некоторые продукты EDR не проверяют, ведет ли путь к вредоносному файлу в то же место после перезагрузки, что дает злоумышленникам возможность внезапно вставить ярлык в середину пути. Такие уязвимости относятся к классу, известному как уязвимости с временем проверки и временем использования (TOCTOU).
Яир сообщил, что в большинстве случаев организации могут восстановить удаленные файлы. Таким образом, заставить EDR удалить файлы в системе самостоятельно, хотя это и плохо, но не самый худший вариант. «Удаление - это не совсем стирание» - заявил Яир. Чтобы добиться этого, Яир разработал программу Aikido, которая перезаписывает удаленные файлы, делая их также невосстановимыми.
По его словам, разработанный им эксплойт является примером того, как атакующий использует силу защитников против них самих - точно так же, как в боевом искусстве айкидо. Продукты безопасности, такие как средства EDR, имеют права суперпользователя в системах, и злоумышленник, способный злоупотребить ими, может выполнять атаки практически незаметно. Он сравнивает этот подход с тем, как если бы противник превратил знаменитую израильскую систему противоракетной обороны «Железный купол» в вектор атаки.
Источник: https://www.darkreading.com
