Zum Besten von Cyberangreifer können beliebte EDR-Tools zu zerstörerischen Datenlöschern werden

Viele Trusted-Endpoint-Detection-and-Response-Technologien (EDR) können eine Sicherheitslücke aufzählen, die es Angreifern ermöglicht, die Produkte so zu vertuschen, dass praktisch jedweder Datenmaterial aufwärts installierten Systemen gelöscht werden.

Oder Yair, ein Sicherheitsforscher zwischen SafeBreach, jener dasjenige Problem entdeckte, testete 11 EDR-Tools von verschiedenen Anbietern und stellte wacker, dass sechs davon – von insgesamt vier Anbietern – instabil waren. Die anfälligen Produkte waren Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus und SentinelOne.

Formelle CVEs und Patches

Drei jener Lieferant nach sich ziehen den Fehlern formelle CVE-Nummern zugewiesen und Patches z. Hd. sie hrsg., ehe Yair dasjenige Problem aufwärts jener Black Hat Europe-Tagung am Mittwoch, dem 7. letzter Monat des Jahres, offengelegt hat.

Für Black Hat veröffentlichte Yair verknüpfen Proof-of-Concept-Kode namens Aikido, den er entwickelt hatte, um zu vormachen, wie ein Wiper mit nur den Berechtigungen eines nicht privilegierten Benutzers verknüpfen anfälligen EDR vertuschen konnte, um so gut wie jede File aufwärts dem System zu löschen, einschließlich Systemdateien. „Wir konnten jene Schwachstellen in mehr wie 50 % jener von uns getesteten EDR- und AV-Produkte ausnutzen, einschließlich des standardmäßigen Endpunktschutzprodukts unter Windows“, sagte Yair in einer Erklärung seines Black-Hat-Vortrags. „Wir nach sich ziehen Hochgefühl, dass dies vor echten Angreifern entdeckt wurde, da jene Tools und Schwachstellen viel Schaden kredenzen könnten, wenn sie in die falschen Hände geraten.“ Er beschrieb den Wiper wie effektiv gegen Hunderte Mio. von Endpunkten, aufwärts denen EDR-Versionen laufen, die z. Hd. den Exploit instabil sind.

In Kommentaren im Vergleich zu Dark Reading sagt Yair, er habe die Schwachstelle den betroffenen Anbietern zwischen Juli und August gemeldet. “Wir nach sich ziehen dann in den nächsten Monaten innig mit ihnen zusammengearbeitet, um vor dieser Veröffentlichung verknüpfen Rapid zu erstellen”, sagt er. “Drei jener Lieferant nach sich ziehen neue Versionen ihrer Software oder Patches veröffentlicht, um jene Schwachstelle zu beheben.” Er identifizierte die drei Lieferant wie Microsoft, TrendMicro und Gen, den Hersteller jener Avast- und AVG-Produkte. „Solange bis heute nach sich ziehen wir noch keine Inkraftsetzung von SentinelOne darüber erhalten, ob sie offiziell verknüpfen Rapid veröffentlicht nach sich ziehen“, sagt er.

Yair beschreibt die Schwachstelle damit, wie manche EDR-Tools bösartige Dateien löschen. „Es gibt zwei entscheidende Ereignisse in diesem Löschprozess“, sagt er. „Es gibt den Zeitpunkt, zu dem jener EDR eine File wie ruchlos erkennt, und den Zeitpunkt, zu dem die File tatsächlich gelöscht wird“, welches manchmal verknüpfen Systemneustart erforderlich zeugen kann. Yair sagt, er habe entdeckt, dass ein Angreifer zwischen diesen beiden Ereignissen die Möglichkeit hat, sogenannte NTFS-Verbindungspunkte zu verwenden, um den EDR anzuweisen, eine andere File zu löschen wie die, die er wie ruchlos identifiziert hat.

NTFS-Verbindungspunkte ähneln sogenannten symbolischen Verknüpfungen, zwischen denen es sich um Verknüpfungsdateien zu Ordnern und Dateien handelt, die sich an anderer Stelle aufwärts einem System Ergehen, mit jener Ausnahmefall, dass Verbindungen verwendet werden, um Verzeichnisse aufwärts verschiedenen lokalen Volumes aufwärts einem System zu zusammenbinden.

Nach sich ziehen des Problems

Yair sagt, dass er, um dasjenige Problem aufwärts anfälligen Systemen auszulösen, zuerst eine bösartige File erstellt hat – mit den Berechtigungen eines nicht privilegierten Benutzers – damit jener EDR die File erkennt und versucht, sie zu löschen. Dann fand er verknüpfen Weg, den EDR zu zwingen, dasjenige Löschen solange bis nachdem dem Neustart zu verschieben, während er die bösartige File ungeschützt ließ. Sein nächster Schrittgeschwindigkeit bestand darin, ein Kohlenstoff:TEMP-Verzeichnis aufwärts dem System zu erstellen, es zu einer Vernetzung zu einem anderen Verzeichnis zu zeugen und Utensilien so zu vertuschen, dass dasjenige EDR-Produkt beim Versuch, die bösartige File zu löschen – nachdem dem Neustart – einem Trampelpfad zu a folgte ganz andere File. Yair stellte wacker, dass er denselben Trick anwenden konnte, um mehrere Dateien an verschiedenen Stellen aufwärts einem Computer zu löschen, während er eine Verzeichnisverknüpfung erstellte und darin speziell gestaltete Pfade zu Zieldateien einfügte, denen dasjenige EDR-Produkt folgte.

Yair sagt, dass er mit einigen jener getesteten EDR-Produkte keine willkürliche Dateilöschung realisieren konnte, sondern stattdessen ganze Ordner löschen konnte.

Die Schwachstelle wirkt sich aufwärts EDR-Tools aus, die dasjenige Löschen schädlicher Dateien solange bis nachdem einem Systemneustart verschieben. In diesen Fällen speichert dasjenige EDR-Produkt den Trampelpfad zur schädlichen File an einem Ort – jener je nachdem Lieferant unterschiedlich ist – und verwendet den Trampelpfad, um die File nachdem dem Neustart zu löschen. Yair sagt, dass manche EDR-Produkte nicht prüfen, ob jener Trampelpfad zu jener schädlichen File nachdem dem Neustart an dieselbe Stelle führt, welches Angreifern die Möglichkeit gibt, eine plötzliche Verknüpfung in die Mittelpunkt des Pfads zu stecken. Solche Schwachstellen hinschlagen in eine Stil, die wie TOCTOU-Schwachstellen (Time of Check Time of Use) prominent ist, stellt er wacker.

Yair merkt an, dass Unternehmen in den meisten Fällen gelöschte Dateien zurückführen können. Es ist aus diesem Grund nicht jener schlimmste Kernpunkt, verknüpfen EDR dazu zu schaffen, Dateien aufwärts einem System selbst zu löschen – obwohl es schlecht ist. „Eine Löschung ist nicht ohne Rest durch zwei teilbar ein Wipe“, sagt Yair. Um dies zu hinhauen, hat Yair Aikido so entworfen, dass es gelöschte Dateien überschreibt und sie gleichermaßen nicht wiederherstellbar macht.

Er sagt, jener von ihm entwickelte Exploit sei ein Paradebeispiel zu diesem Zweck, wie ein Gegner die Stärkemehl eines Gegners gegen ihn einsetzt – genau wie zwischen jener Kampfsport Aikido. Sicherheitsprodukte wie EDR-Tools nach sich ziehen Superuser-Rechte aufwärts Systemen und ein Angreifer, jener sie schänden kann, kann Angriffe praktisch unmerklich elaborieren. Er vergleicht den Verfahrensweise mit einem Gegner, jener stattdessen Israels berühmtes Raketenabwehrsystem Iron Dome in verknüpfen Angriffsvektor verwandelt.