Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   EDR и антивирусы научились удалять системные файлы и драйверы (http://txgate.io:443/showthread.php?t=10978)

Artifact 04-12-2025 03:15 AM

Уязвимости превращают популярные продукты безопасности в вайперы.
https://www.securitylab.ru/upload/ib...jdk1pwk0e1.jpg
Исследователь безопасности SafeBreach Labs Ор Яир обнаружил несколько уязвимостей, которые позволили ему превратить EDR-продукты и антивирусы в вайперы. Уязвимые продукты безопасности могут удалить произвольные файлы и каталоги в системе и сделать компьютер непригодным для использования.
Вайпер, получивший название Aikido , злоупотребляет расширенными привилегиями продуктов EDR и AV в системе, полагаясь на каталоги-приманки, которые содержат специально созданные пути, чтобы инициировать удаление законных файлов.
«Вайпер работает с разрешениями непривилегированного пользователя, но при этом может удалить практически любой файл в системе, даже системные файлы, и сделать компьютер полностью неработоспособным. Все это происходит без реализации кода, что делает вайпер полностью необнаруживаемым», — объясняет исследователь.
Вайпер Aikido использует злоупотребляет функцией Windows, которая позволяет пользователям создавать ссылки в точках соединения, которые похожи на символические ссылки (симлинки) независимо от привилегий учетной записи.
Яир объясняет, что непривилегированный пользователь не может удалить системные файлы (.sys), потому что у него соответствующих разрешений. Однако, аналитик обманом заставил продукт безопасности удалить файлы, создав каталог-приманку и поместив в него путь для удаления (например, C:\temp\Windows\System32\drivers и C:\Windows\System32\drivers).
Исследователь создал вредоносный файл, поместил его в каталог-приманку, но не указал для него дескриптор. Не зная, какие программы имеют права на изменение файла, EDR/AV запросила перезагрузку системы для устранения угрозы. Затем исследователь удалил каталог приманки. Кроме того, при перезагрузке системы EDR/AV «несколько раз заполняет диск до нуля случайными байтами», чтобы гарантировать, что данные будут перезаписаны и стерты.
Эксплойт также обходит функцию контролируемого доступа к папкам в Windows, предназначенную для предотвращения подделки файлов внутри защищенных папок — у EDR/AV есть разрешения на удаление этих файлов.
Из 11 протестированных продуктов безопасности 6 оказались уязвимыми для этого эксплойта. В ходе тестов был создан EICAR-Test-File вместо настоящего вредоносного файла, который удаляется EDR/AV.
О недостатках безопасности Яир сообщил затронутым поставщикам. Были выпущены 3 идентификатора CVE:<ul><li>CVE-2022-37971 (CVSS: 7.1) для Microsoft Defender и Defender for Endpoint;</li>
</ul><ul><li>CVE-2022-45797 (CVSS: 5.0) для Trend Micro Apex One;</li>
</ul><ul><li>CVE-2022-4173 (CVSS: 8.8) для Avast и AVG.</li>
</ul>


All times are GMT. The time now is 07:22 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.