{"id":4076,"date":"2022-12-08T23:02:30","date_gmt":"2022-12-08T22:02:30","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4076"},"modified":"2022-12-09T07:54:26","modified_gmt":"2022-12-09T06:54:26","slug":"ranjivost-nultog-dana-u-edr-i-antivirus-softverima-poznatih-kompanija","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2022\/12\/08\/ranjivost-nultog-dana-u-edr-i-antivirus-softverima-poznatih-kompanija\/","title":{"rendered":"Ranjivost nultog dana u EDR i antivirus softverima poznatih kompanija"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010d <em>Or Yair<\/em> iz kompanije <em>SafeBreach Labs<\/em> je otkrio ranjivost nultog dana u nekoliko poznatih <em>endpoint detection and response<\/em> (<em>EDR<\/em>) i antivirus softvera, koja mu je omogu\u0107ila da ih pretvori u potencijalno opasne brisa\u010de podataka (eng. <em>wipers<\/em>) nove generacije.<\/span><\/p>\n<div id=\"attachment_4077\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4077\" class=\"size-full wp-image-4077\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2022\/12\/zeroday.jpg\" alt=\"0-day\" width=\"1024\" height=\"619\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2022\/12\/zeroday.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2022\/12\/zeroday-300x181.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2022\/12\/zeroday-768x464.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2022\/12\/zeroday-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4077\" class=\"wp-caption-text\">Zero-Day Vulnerability, Design by Sa\u0161a \u0110uri\u0107<\/p><\/div>\n<p><span style=\"font-size: 14pt;\">\u201c<em>Ovaj brisa\u010d radi sa dozvolama ne privilegovanog korisnika, ali ima mogu\u0107nost da obri\u0161e skoro svaku datoteku na sistemu, uklju\u010duju\u0107i sistemske datoteke, i u\u010dini da ra\u010dunar potpuno ne mo\u017ee da se pokrene\u201d<\/em> upozorio je ovaj istra\u017eiva\u010d <a href=\"https:\/\/www.safebreach.com\/resources\/blog\/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">u svom blogu<\/a> detaljno obja\u0161njavaju\u0107i svoj pronalazak. \u201c<em>Sve to radi bez implementacije k\u00f4da koji dodiruje ciljne datoteke, \u010dinec\u0301i ga potpuno neprimjetnim.<\/em>\u201d Prezentaciju svog otkri\u0107a je predstavio i na konferenciji <em>Black Hat Europe<\/em>, koju mo\u017eete pogledati <a href=\"https:\/\/www.blackhat.com\/eu-22\/briefings\/schedule\/index.html#aikido-turning-edrs-to-malicious-wipers-using--day-exploits-29336\" target=\"_blank\" rel=\"noopener\">ovdje<\/a>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010d <em>Or Yair<\/em> je svoj alat koji je razvio za iskori\u0161tavanje ove ranjivosti nazvao <em>Aikido Wiper<\/em>, po borila\u010dkoj vje\u0161tini koja se fokusira da iskoristi snagu svog protivnika protiv njega samog. Polaze\u0107i od toga da <em>EDR<\/em> sigurnosni softveri imaju mogu\u0107nost da obri\u0161e bilo koju datoteku na ure\u0111aju koji smatraju zlonamjernim, on je poku\u0161ao da iskoristi tu mogu\u0107nost protiv <em>EDR<\/em> softvera i da obri\u0161e ciljnu datoteku\u00a0 sa dozvolama ne privilegovanog korisnika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Kako bi to postigao, on je fokusirao na dva klju\u010dna doga\u0111aja koja se odvijaju kada <em>EDR<\/em> bri\u0161e zlonamjerna datoteka. Prvi doga\u0111aj je identifikacija datoteke, a drugi brisanje iste. \u201e<em>Ako bih mogao da uradim ne\u0161to izme\u0111u ova dva doga\u0111aja, koriste\u0107i raskrsnicu, mo\u017eda bih mogao da usmjerim EDR na druga\u010diji put.<\/em>\u201c &#8211; napisao je <em>Or<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Iako je nekoliko poku\u0161aja propalo prije nego \u0161to je shvatio da podrazumijevani <em>Windows API<\/em> za odga\u0111anje brisanja prilikom sljede\u0107eg pokretanja ure\u0111aja po\u010dinje da bri\u0161e sve putanje i slijepo prati raskrsnice. Ovo mu je omogu\u0107ilo da uspostavi funkcionalan proces sa kojim mo\u017ee da obri\u0161e bilo koju datoteku u sistemu\u00a0 sa dozvolama ne privilegovanog korisnika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj sigurnosni istra\u017eiva\u010d je testirao svoje otkri\u0107e na 11 razli\u010ditih sigurnosnih proizvoda\u00a0 i prona\u0161ao da je vi\u0161e od polovine njih pogo\u0111eno ovom ranjivo\u0161\u0107u, a to se odnosi na <em>Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus<\/em> i <em>AVG Antivirus<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Na sigurnosne softvere <em>Palo Alto Networks XDR, Cylance, CrowdStrike, McAfee<\/em> i <em>Bitdefender <\/em>ova ranjivost ne uti\u010de.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosna kompanija <em>SafeBreach<\/em> je prijavila svoja otkri\u0107a proizvo\u0111a\u010dima softvera u julu i avgustu i radila zajedno sa njima na otklanjanju sigurnosnog propusta prije nego \u0161to su ih objavili. Ove su ranjivosti ozna\u010dene kao <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-37971\" target=\"_blank\" rel=\"noopener\"><em>CVE-2022-37971<\/em><\/a> (<em>Microsoft<\/em>), <a href=\"https:\/\/success.trendmicro.com\/dcx\/s\/solution\/000291830?language=en_US\" target=\"_blank\" rel=\"noopener\"><em>CVE-2022-45797<\/em><\/a> (<em>TrendMicro<\/em>) i <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-4173\" target=\"_blank\" rel=\"noopener\"><em>CVE-2022-4173<\/em><\/a> (<em>Avast <\/em>i <em>AVG<\/em>).<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010d je objasnio da je nemogu\u0107e da testira sve proizvode na tr\u017ei\u0161tu i da je veoma va\u017eno da proizvo\u0111a\u010di sigurnosnih softvera testiraju svoje proizvode na ovu ranjivost i ako je potrebno isprave sigurnosni propust. On savjetuje da svi korisnici i organizacije koji koriste <em>EDR<\/em> i anitvirus sigurnosna rje\u0161enja kontaktiraju proizvo\u0111a\u010de tih softvera sa upitom vezanu za ovu ranjivost i odmah instaliraju svako dostupno a\u017euriranje koje im oni dostave vezano za ovu ranjivost.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010d Or Yair iz kompanije SafeBreach Labs je otkrio ranjivost nultog dana u nekoliko poznatih endpoint detection and response (EDR) i antivirus softvera, koja mu je omogu\u0107ila da ih pretvori u potencijalno opasne&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4077,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[237,77,235,54,238,236],"class_list":["post-4076","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-0-day","tag-antivirusni-softver","tag-edr","tag-sajber-bezbjednost","tag-wiper","tag-zero-day"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4076"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4076\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4077"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}