Спецпроекты

Безопасность Администратору Пользователю Стратегия безопасности

Найден способ превращать антивирусы в средство уничтожения Windows

Антивирусы и EDR-системы некоторых производителей содержали уязвимость, позволявшую превращать их в средств необратимого удаления данных. Сделать это относительно просто.

Угроза вместо защиты

Эксперт по информационной безопасности продемонстрировал способ превратить антивирусы и EDR-решения в их полную противоположность: вместо защиты данных их можно использовать для необратимого уничтожения данных на целевой системе. Таким манипуляциям поддаются разработки Microsoft, SentinelOne, TrendMicro, Avast и AVG.

EDR - это класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах интернета вещей и других. Такие решения предназначены для борьбы с целевыми атаками и сложными угрозами. Они не заменяют собой антивирусы, поскольку решают другие задачи.

При этом, и антивирусы, и EDR-решения регулярно производят сканирование файловой системы компьютера на предмет выявления вредоносных программ или каких-то подозрительных событий. При обнаружении таковых предпринимается попытка либо удалить, либо изолировать вредоносную программу в карантине.

mal600.jpg
Антивирусы и EDR-системы Microsoft, SentinelOne, TrendMicro, Avast и AVG содержали уязвимость, позволявшую превращать их в средств необратимого удаления данных

Если активна защита в режиме реального времени, каждый появляющийся (создаваемый) в системе файл сканируется автоматически. И опять же, если он считается вредоносным, защитное решение пытается удалить или изолировать его.

Как написал в своём исследовании эксперт компании SafeBreach Ор Яир (Or Yair), удаление вредоносного файла EDR-системой - это два события: сначала файл распознаётся как вредоносный, затем - производится удаление. Если успеть каким-либо образом вклиниться между этими двумя событиями, то EDR-систему можно «перенаправить» на другие каталоги. Фактически речь идёт об уязвимости. Уязвимости, относящейся к классу TOCTOU (time-of-check to time-of-use: время проверки - время использования).

И быстро подменить каталог

В ходе экспериментов Яир создал каталог C:\temp\Windows\System32\drivers и поместил в него эксплойт-утилиту Mimikatz под видом файла ndis.sys (легитимный файл с этим именем - это системный драйвер Windows для сетевых контроллеров).

Большинство EDR-платформ, включая Microsoft Defender, рассматривают эту утилиту как вредоносную и пытаются её ликвидировать.

Однако до того, как EDR-система смогла её удалить, исследователь удалил каталог C:\temp\ и создал т.н. «точку соединения» (Junction) - символическую ссылку, позволяющую производить переадресацию с каталога на каталог, в данном случае - с C:\temp на C:\Windows. В результате, с точки зрения EDR-системы, удалению теперь подлежал файл, размещавшийся по адресу C:\Windows\system32\drivers\. Это месторасположение легитимного ndis.sys.

Поначалу это не сработало, потому что некоторые EDR запрещают дальнейший доступ к файлу, обозначенному как вредоносный, а значит, и его удаление.

В других случаях EDR обнаруживали, что вредоносный файл уже удалён, поэтому ликвидация не производилась.

Решение состояло в том, чтобы создать вредоносный файл и оставить его открытым, тем самым сохраняя его дескриптор, но при этом не указывать, каким ещё процессам разрешено записывать/удалять его, чтобы EDR и антивирусы не могли его стереть.

После того, как файл обнаруживался, и в силу отсутствия прав на его удаление, защитные средства предложили исследователю одобрить перезагрузку системы, которая освободила бы дескриптор и позволила бы удалить вредоносный файл.

Команда на удаления файла - в этом случае - записывается в системный реестр (PendingFileRenameOperations); её исполнение осуществляется при перезагрузке.

Однако, как указал исследователь, Windows «слепо» следует инструкции, заданной точкой соединения, то есть, удаляет не вредоносный файл, а легитимный.

В результате Яир получил возможность удалять файлы в каталогах, модифицировать которые у него полномочий не было.

Максимальные привилегии

«Этот эксплойт срабатывает и против защитной функции Windows под названием (Controlled Folder Access) контролируемый доступ к папкам. Функция, предназначенная для защиты от шифровальщиков, блокирует любым непроверенным процессам возможность изменения или удаления каких-либо файлов, размещающихся внутри каталогов, внесённых в список защищённых. Однако, поскольку EDR и антивирусы пользуются максимальными привилегиями в системе, эта функция не помешает им удалить что бы то ни было», - написал исследователь.

Яир в итоге создал вайпер - программу для необратимого уничтожения данных, - который невозможно обнаружить ничем, может быть запущен непривилегированными пользователями и успешно удаляет данные из защищённых каталогов, вплоть до того, что систему невозможно загрузить.

Яир протестировал свой Aikido Wiper на 11 защитных инструментах, и выяснил, что он отлично срабатывает против Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus и AVG Antivirus. Defender/Defender for Endpoint и SentinelOne оказались наиболее уязвимыми - с ними реализовать вайпер оказалось проще всего.

Не поддались решения Palo Alto, Cylance, CrowdStrike, McAfee и BitDefender.

Между июлем и августом 2022 года Яир проинформировал всех вендоров о наличии уязвимостей, и к настоящему времени все они устранили проблему.

«Можно сказать, что проблема носила экстремальный характер и очень повезло, что информация о ней не утекла в публичное поле до того, как были обновлены все эти продукты, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - В противном случае хотя бы на какое-то время получилось бы «абсолютное оружие»: ничем не обнаруживаемый вредонос, способный уничтожить любую систему».

Microsfot, Trend Micro, Avast и AVG присвоили уязвимостям индексы CVE - CVE-2022-37971 (Microsoft), CVE-2022-45797 (Trend Micro) и CVE-2022-4173 (Avast и AVG).

Безопасными считаются следующие версии: Microsoft Malware Protection Engine: 1.1.19700.2 или более новая; TrendMicro Apex One: Hotfix 23573 и Patch_b11136 или позднее; Avast & AVG Antivirus: 22.10 или более новая.

Роман Георгиев

Короткая ссылка