Ranjivost nultog dana u EDR i antivirus softverima poznatih kompanija
Sigurnosni istraživač Or Yair iz kompanije SafeBreach Labs je otkrio ranjivost nultog dana u nekoliko poznatih endpoint detection and response (EDR) i antivirus softvera, koja mu je omogućila da ih pretvori u potencijalno opasne brisače podataka (eng. wipers) nove generacije.
Zero-Day Vulnerability, Design by Saša Đurić
“Ovaj brisač radi sa dozvolama ne privilegovanog korisnika, ali ima mogućnost da obriše skoro svaku datoteku na sistemu, uključujući sistemske datoteke, i učini da računar potpuno ne može da se pokrene” upozorio je ovaj istraživač u svom blogu detaljno objašnjavajući svoj pronalazak. “Sve to radi bez implementacije kôda koji dodiruje ciljne datoteke, čineći ga potpuno neprimjetnim.” Prezentaciju svog otkrića je predstavio i na konferenciji Black Hat Europe, koju možete pogledati ovdje.
Sigurnosni istraživač Or Yair je svoj alat koji je razvio za iskorištavanje ove ranjivosti nazvao Aikido Wiper, po borilačkoj vještini koja se fokusira da iskoristi snagu svog protivnika protiv njega samog. Polazeći od toga da EDR sigurnosni softveri imaju mogućnost da obriše bilo koju datoteku na uređaju koji smatraju zlonamjernim, on je pokušao da iskoristi tu mogućnost protiv EDR softvera i da obriše ciljnu datoteku sa dozvolama ne privilegovanog korisnika.
Kako bi to postigao, on je fokusirao na dva ključna događaja koja se odvijaju kada EDR briše zlonamjerna datoteka. Prvi događaj je identifikacija datoteke, a drugi brisanje iste. „Ako bih mogao da uradim nešto između ova dva događaja, koristeći raskrsnicu, možda bih mogao da usmjerim EDR na drugačiji put.“ – napisao je Or.
Iako je nekoliko pokušaja propalo prije nego što je shvatio da podrazumijevani Windows API za odgađanje brisanja prilikom sljedećeg pokretanja uređaja počinje da briše sve putanje i slijepo prati raskrsnice. Ovo mu je omogućilo da uspostavi funkcionalan proces sa kojim može da obriše bilo koju datoteku u sistemu sa dozvolama ne privilegovanog korisnika.
Ovaj sigurnosni istraživač je testirao svoje otkriće na 11 različitih sigurnosnih proizvoda i pronašao da je više od polovine njih pogođeno ovom ranjivošću, a to se odnosi na Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus i AVG Antivirus.
Na sigurnosne softvere Palo Alto Networks XDR, Cylance, CrowdStrike, McAfee i Bitdefender ova ranjivost ne utiče.
Sigurnosna kompanija SafeBreach je prijavila svoja otkrića proizvođačima softvera u julu i avgustu i radila zajedno sa njima na otklanjanju sigurnosnog propusta prije nego što su ih objavili. Ove su ranjivosti označene kao CVE-2022-37971 (Microsoft), CVE-2022-45797 (TrendMicro) i CVE-2022-4173 (Avast i AVG).
Sigurnosni istraživač je objasnio da je nemoguće da testira sve proizvode na tržištu i da je veoma važno da proizvođači sigurnosnih softvera testiraju svoje proizvode na ovu ranjivost i ako je potrebno isprave sigurnosni propust. On savjetuje da svi korisnici i organizacije koji koriste EDR i anitvirus sigurnosna rješenja kontaktiraju proizvođače tih softvera sa upitom vezanu za ovu ranjivost i odmah instaliraju svako dostupno ažuriranje koje im oni dostave vezano za ovu ranjivost.
