Решенията за сигурност, призвани да защитават данните в Windows системи,

Решенията за сигурност, призвани да пазят данните в Windows системи, могат да се употребяват за унищожаването им, потвърди експерт по сигурността (снимка: CC0 Public Domain)

Вместо да пазят данните в една Windows система, някои софтуери за сигурност могат да бъдат употребявани за непрекъснатото им заличаване, твърди специалист по осведомителна сигурност, който е разкрил метод за преобразяване на антивирусни и EDR решения в тяхната цялостна диаметралност.

С абревиатурата EDR (Endpoint Detection and Response) се значат клас решения за сигурност, които засичат и изследват злонамерена интензивност на крайни точки: мрежови работни станции, сървъри, IoT устройства и други. Такива решения са предопределени да се оправят с целеви офанзиви и напреднали киберзаплахи. Те не заместват антивирусите, защото вземат решение други проблеми.

В същото време както антивирусите, по този начин и EDR решенията постоянно сканират файловата система на компютъра, с цел да открият злотворен програмен продукт или подозрителни събития. Ако засече такива закани, EDR прави опит за унищожаване или уединяване в карантина на злонамерената стратегия.

Ако отбраната в действително време е дейна, всеки файл, който се появява (създава) в системата, се сканира автоматизирано. Ако този файл се смята за злоумишлен, защитното решение се пробва да го отстрани или изолира. Оказва се, че антивирусните и EDR системи на Microsoft, SentinelOne, TrendMicro, Avast и AVG съдържат накърнимост, която можеше да ги трансформира в принадлежности за непрекъснато заличаване на данни.

Експериментът

Ор Яир, специалист по сигурност в SafeBreach, разяснява в своето проучване, показано на конференцията Black Hat, че премахването на злоумишлен файл от системата EDR се състои от две събития: първо, файлът се разпознава като злоумишлен, след което се прави изтриването. Ако съумеете по някакъв метод да се вклините сред тези две събития, тогава EDR системата може да бъде „ пренасочена ” към други директории. Всъщност приказваме за накърнимост от клас TOCTOU (time-of-check to time-of-use, или от времето на инспекция до времето на използване).

По време на опитите Яир основава директорията C:tempWindowsSystem32drivers и слага в нея помощната стратегия за експлойт на уязвимости Mimikatz под прикритието на файла ndis.sys (легитимният файл с това име е систематичният драйвер на Windows за мрежови контролери ). Повечето EDR платформи, в това число Microsoft Defender, считат тази помощна стратегия за злонамерена и се пробват да я отстраняват.
още по темата
Въпреки това, преди EDR системата да успее да изтрие Mimikatz, Яир изтрива директорията C:temp и сътвори така наречен „ точка на свързване ” (Junction) – символна връзка, която ви разрешава да пренасочвате от папка към папка, в тази ситуация – от C:temp към C:Windows. В резултат на това, от позиция на системата EDR, файлът, намиращ се в C:Windowssystem32drivers, в този момент предстои на заличаване. Това е местоположението на законния ndis.sys.

Първоначално този метод не проработва, тъй като някои EDR предотвратяват по-нататъшен достъп до файл, маркиран като злоумишлен, и затова неговото заличаване. В други случаи EDR открива, че злонамереният файл към този момент е отстранен, тъй че елиминирането не е осъществено.

Решението е да се сътвори злоумишлен файл и да се остави отворен, като по този метод се резервира дескрипторът му, само че не се прецизира кои други процеси имат право да го записват/изтриват, тъй че EDR и антивирусите да не могат да го изтрият.

След като файлът е открит и заради липса на права за изтриването му, инструментите за сигурност оферират на Яир да утвърди рестартиране на системата, което ще освободи дескриптора и ще разреши заличаване на злонамерения файл. Командата за заличаване на файла в този случай се записва в систематичния указател (PendingFileRenameOperations); неговото осъществяване се прави при рестартиране.

Въпреки това, както показва Яири, Windows „ сляпо ” следва инструкциите, дадени от точката на свързване, т.е. не изтрива злоумишлен файл, а законен. В резултат на това откривателят съумява да изтрие файлове в директории, които няма право да трансформира.

Навременна актуализация

„ Този експлойт работи и против функционалност за сигурност на Windows, наречена „ следен достъп до директория ” (Controlled Folder Access). Това е функционалност, предопределена да пази против рансъмуер, която блокира всички непроверени процеси за смяна или заличаване на файлове, намиращи се в директории, включени в листата със предпазени. Въпреки това, защото EDR и антивирусите се радват на оптимални привилегии в системата, тази функционалност няма да им попречи да изтрият каквото и да било ”, написа Яир.

В последна сметка той основава „ уайпер ” – стратегия за необратимо заличаване на данни, която не може да бъде открита от нищо, може да се започва от непривилегировани консуматори и сполучливо изтрива данни от предпазени директории до степен, че системата не може да се зареди.

Яир тества своя Aikido Wiper на 11 инструмента за сигурност, с цел да откри, че тя работи отлично против Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus и AVG Antivirus. Defeneder/Defenderfor Endpoint и SentinelOne се оказват най-уязвими – при тях е най-лесно да се имплементира уайпер. Решенията на Palo Alto, Cylance, CrowdStrike, McAfee и BitDefender не се поддават на операцията.

Между юли и август 2022 година Яир е уведомил всички снабдители за откритите уязвимости и те към този момент са коригирали казуса. Късмет за промишлеността на киберсигурността и потребителите е че информацията за толкоз сериозен проблем не е изтекла в общественото пространство, преди всички тези артикули да бъдат обновени. В противоположен случай, най-малко за известно време, това би било „ висшо оръжие ”: неоткриваем злотворен програмен продукт, кадърен да унищожи всяка система.

Microsfot, Trend Micro, Avast и AVG присвоиха CVE показатели на уязвимостите, надлежно CVE-2022-37971 (Microsoft), CVE-2022-45797 (Trend Micro) и CVE-2022-4173 (Avast и AVG). Следните версии се смятат за безвредни: Microsoft Malware Protection Engine: 1.1.19700.2 или по-нова; TrendMicro Apex One: Hotfix 23573 и Patch_b11136 или по-нова версия; Avast & AVG Antivirus: 22.10 или по-нова.