Microsoft Defender, Avast, AVG zwróciły się przeciwko Windowsowi, aby trwale usunąć pliki

Lub Yair, badacz bezpieczeństwa w SafeBreach, opublikował niedawno dowód słuszności koncepcji (POC) pokazujący, w jaki sposób można oszukać rozwiązania chroniące przed złośliwym oprogramowaniem w celu wyczyszczenia lub trwałego usunięcia nieszkodliwych plików na komputerze. POC nazywa się „Aikido” i jest inspirowany japońską sztuką walki, która jest używana do obracania ruchów przeciwników przeciwko nim. I chociaż ludzie nadal debatują nad przydatnością i zasadnością sztuk walki, nie ma wątpliwości, że wycieraczka Aikido działa. Wynika to z faktu, że Microsoft potwierdził już exploit w Defender i załatał lukę.

Inni główni dostawcy oprogramowania chroniącego przed złośliwym oprogramowaniem, tacy jak Avast, AVG i TrendMicro, również byli podatni na tę lukę. Tymczasem inne popularne rozwiązania, takie jak McAfee i BitDefender, wyszły bez szwanku. Oto pełna lista testowanych produktów.

Yair wyjaśnia, że ​​wycieraczka Aikido opiera się na tak zwanej luce czasu sprawdzania do czasu użycia (TOCTOU). Rozwiązanie antywirusowe najpierw wykrywa i określa plik jako złośliwy, a następnie usuwa go. Aikido za pomocą TOCTOU służy do wstawiania alternatywnej ścieżki po wykryciu złośliwego oprogramowania, aby następnie doprowadzić do usunięcia legalnego pliku zamiast tego złośliwego. Za pomocą tego można usunąć nawet pliki systemowe.

Kroki zostały opisane w skrócie poniżej:

1. Utwórz specjalną ścieżkę ze złośliwym plikiem w C:\temp\Windows\System32\drivers\ndis.sys
2. Przytrzymaj uchwyt i zmuś EDR lub AV do odłożenia usunięcia do następnego ponownego uruchomienia
3. Usuń katalog C:\temp
4. Utwórz połączenie C:\temp → C:\
5. Restart

Co ciekawe, w przypadku Defendera i Defendera dla Endpoint Yair zauważył, że Defender nie usuwał plików, lecz foldery. Microsoft przypisał do tego identyfikator luki „ CVE-2022-37971 ” i załatał problem w najnowszej wersji Microsoft Malware Protection Engine 1.1.19700.2.

W międzyczasie firmy TrendMicro, Avast i AVG wydały także łatki do swoich produktów:

• TrendMicro Apex One: poprawka 23573 i poprawka_b11136
• Antywirus Avast i AVG: 22.10

Więcej szczegółów na temat Akido Wiper i exploita można znaleźć na oficjalnej stronie SafeBreach tutaj . Akido Wiper POC został zaprezentowany na niedawnej konferencji bezpieczeństwa Black Hat Europe 2022. W związku z tym możesz również znaleźć więcej informacji na tej stronie .