Спецпроекты

Безопасность Техника

С помощью антивирусов Microsoft Defender и Kaspersky EDR можно безвозвратно удалить любые файлы из системы

Специалисты SafeBreach Labs продемонстрировали, что популярные антивирусные программы могут быть использованы во зло. С помощью таких ИБ-решений как Microsoft Defender и Kaspersky EDR злоумышленник может безвозвратно уничтожить любые файлы на целевой системе, причем сделать это удаленно.

Обмануть Defender

Антивирусные продукты Microsoft Defender и Kaspersky EDR могут быть использованы злоумышленниками для удаления файлов на компьютере жертвы, пишет The Register. Экспертами описана техника, которая позволяет обманом заставить антивирусы детектировать определенные файлы и после этого удалять.

Соответствующие уязвимости выявили исследователи безопасности Томер Бар (Tomer Bar) и Шмуэль Коэн (Shmuel Cohen) из американо-израильской компании SafeBreach. По заявлению специалистов, проблема может по-прежнему оставаться актуальной, несмотря на выпуск корректирующих патчей обоими ИБ-вендорами.

Атака основана на эксплуатации особенностей антивирусных продуктов Microsoft и «Лаборатории Касперского». Для выявления вредоносного ПО Defender и Kaspersky EDR используют байтовые сигнатуры – последовательность байтов, находящихся в заголовках файлов.

«Нашей целью было ввести EDR в заблуждение, внедрив вредоносные сигнатуры в легитимные файлы, и заставить их [антивирусы] воспринимать их как угрозу», – поясняют исследователи.

Недостатки в Microsoft Defender и Kaspersky EDR делают возможным удаление любых файлов

Для начала Бар и Коэн раздобыли байтовую сигнатуру, связанную с вредоносом – на портале VirusTotal. Затем эта сигнатура была интегрирована в файл базы данных, добиться удаление которой пытались исследователи – для этого в нее был добавлен новый пользователь с именем, включающим сигнатуру.

EDR-решения Microsoft и «Лаборатории Касперского» теперь расценивали всю базу данных целиком как зараженную зловредом. Если антивирус настроен таким образом, что автоматически удаляет опасные файлы – это не является редкостью, то и избавиться от совершенно «чистых», к примеру, БД или виртуальных машин, злоумышленнику не составит большого труда, в том числе удаленно. Причем, как показал эксперимент Бара и Коэна, уничтоженные таким образом данные не подлежат восстановлению средствами EDR-решений. Единственный способ вернуть утраченные файлы – обратиться к резервной копии.

По словам Коэна, он с коллегами подумывал проверить этот вектор атаки на практике в условиях, приближенных к «боевым». Целью могла стать облачная инфраструктура самой Microsoft – сервис Azure, который защищен Defender. Однако от такого эксперимента пришлось отказаться из опасений по поводу возможного выхода сервиса из строя по всему миру.

Реакция ИБ-вендоров

Вместо этого SafeBreach сообщила о своей находке в Microsoft. В январе 2023 г. уязвимости был присвоен идентификатор CVE-2023-24860, а в апреле того же года корпорация выпустила исправление.

В «Лаборатории Касперского», как отмечает The Register, заявили, что проблему нельзя причислять к уязвимостям безопасности, так как поведение EDR-решения в описанной исследователями схеме продиктовано принципом его работы. Тем не менее в компании заверили специалистов в том, что «планируют некоторые улучшения, направленные на митигацию (уменьшение рисков - прим. CNews) проблемы».

Коэн отметил, что впоследствии «Лаборатория Касперского» действительно приняла меры, которые, судя по всему, позволили решить проблему. Однако утверждать, что злоумышленник точно не сможет обойти защиту, исследователь не берется.

В целом Бар и Коэн предпочли сосредоточиться на тестировании продукта Microsoft, поскольку он значительно более распространен, нежели Kaspersky EDR. Исследователи вновь обратились к услугам VirusTotal и повторили опыт с использованием другой сигнатуры. Несмотря на патч, выпущенный Microsoft, повторный эксперимент дуэта из SafeBreach увенчался успехом, о чем специалисты в августе 2023 г. уведомили разработчиков Defender.

К декабрю у разработчиков Defender было готово исправление – с его выходом у EDR-решения появился белый список, благодаря чему использовать ранее выявленный вектор атаки Бару и Коэну стало сложнее. Впрочем, проблему белого списка они решили быстро – оказалось достаточно одной команды PowerShell, чтобы заставить антивирус игнорировать исключения.

На третье сообщение SafeBreach в Microsoft отреагировали не патчем, а заявлением о том, что выявленная специалистами техника обхода новой функции безопасности сама по себе угрозы не представляет.

В компании предложили настраивать Defender таким образом, чтобы любая операция выполнялась только с одобрения пользователя. В Microsoft считают, что текущий подход, реализованный в антивирусе, является хорошо сбалансированным, обеспечивая адекватный уровень безопасности и функциональности.

Несмотря на такой исход, Коэн положительно оценил сотрудничество с Microsoft. По его мнению, в компании хорошо понимают проблему, однако устранить ее окончательно, вероятно, невозможно из-за ее фундаментального характера – для этого потребовалась бы полная переработка продукта.

Вайпер Akido

Специалисты SafeBreach давно изучают способы применения ИБ-продуктов в кибератаках.

В декабре 2022 г. CNews писал о программе-стирателе Akido, разработанной Ором Яиром (Or Yair), Вайпер, обладая привилегиями пользователя, способен уничтожать любые файлы на целевой машине, в том числе системные, силами целого ряда антивирусов, в том числе SentinelOne EDR, TrendMicro Apex One, Avast Antivirus, AVG Antivirus и Microsoft Defender. Иммунитетом к угрозе обладали Palo Alto XDR, Cylance, CrowdStrike, McAfee, BitDefender.

Aikido эксплуатирует уязвимость типа TOCTOU (Time-of-check Time-of-use; один из видов состояния гонки). Иначе говоря, он мастерски использует «окно возможности», которое образуется в промежутке между обнаружением какой-либо вредоносной программы антивирусом и ее безвозвратным удалением из файловой системы, подменяя зараженный файл легитимным при помощи точек соединения NTFS.

Дмитрий Степанов

Короткая ссылка