EDR и антивирусы научились удалять системные файлы и драйверы

[Artifact]

Уязвимости превращают популярные продукты безопасности в вайперы.

Исследователь безопасности SafeBreach Labs Ор Яир обнаружил несколько уязвимостей, которые позволили ему превратить EDR-продукты и антивирусы в вайперы. Уязвимые продукты безопасности могут удалить произвольные файлы и каталоги в системе и сделать компьютер непригодным для использования.
Вайпер, получивший название Aikido , злоупотребляет расширенными привилегиями продуктов EDR и AV в системе, полагаясь на каталоги-приманки, которые содержат специально созданные пути, чтобы инициировать удаление законных файлов.
«Вайпер работает с разрешениями непривилегированного пользователя, но при этом может удалить практически любой файл в системе, даже системные файлы, и сделать компьютер полностью неработоспособным. Все это происходит без реализации кода, что делает вайпер полностью необнаруживаемым», — объясняет исследователь.
Вайпер Aikido использует злоупотребляет функцией Windows, которая позволяет пользователям создавать ссылки в точках соединения, которые похожи на символические ссылки (симлинки) независимо от привилегий учетной записи.
Яир объясняет, что непривилегированный пользователь не может удалить системные файлы (.sys), потому что у него соответствующих разрешений. Однако, аналитик обманом заставил продукт безопасности удалить файлы, создав каталог-приманку и поместив в него путь для удаления (например, C:\temp\Windows\System32\drivers и C:\Windows\System32\drivers).
Исследователь создал вредоносный файл, поместил его в каталог-приманку, но не указал для него дескриптор. Не зная, какие программы имеют права на изменение файла, EDR/AV запросила перезагрузку системы для устранения угрозы. Затем исследователь удалил каталог приманки. Кроме того, при перезагрузке системы EDR/AV «несколько раз заполняет диск до нуля случайными байтами», чтобы гарантировать, что данные будут перезаписаны и стерты.
Эксплойт также обходит функцию контролируемого доступа к папкам в Windows, предназначенную для предотвращения подделки файлов внутри защищенных папок — у EDR/AV есть разрешения на удаление этих файлов.
Из 11 протестированных продуктов безопасности 6 оказались уязвимыми для этого эксплойта. В ходе тестов был создан EICAR-Test-File вместо настоящего вредоносного файла, который удаляется EDR/AV.
О недостатках безопасности Яир сообщил затронутым поставщикам. Были выпущены 3 идентификатора CVE:

• CVE-2022-37971 (CVSS: 7.1) для Microsoft Defender и Defender for Endpoint;

• CVE-2022-45797 (CVSS: 5.0) для Trend Micro Apex One;

• CVE-2022-4173 (CVSS: 8.8) для Avast и AVG.