Podatności typu Zero-Day w wiodących rozwiązaniach typu EDR oraz Antivirus | wiper Aikido

5 Stycznia 2023

Luki odkryte przez badaczy z zespołu SafeBreach Labs zostały wykorzystane do stworzenia niewykrywalnego wipera nowej generacji – Aikido Wiper – który może mieć wpływ na miliony stacji roboczych i serwerów na całym świecie.

Wiper Aikido działa z uprawnieniami nieuprzywilejowanego użytkownika, ale jest w stanie wymazać prawie każdy plik w systemie, w tym również pliki systemowe i sprawić, że komputer będzie całkowicie unieruchomiony. Wszystko to robi bez implementacji kodu, co czyni go całkowicie niewykrywalnym.

Aikido wykorzystuje funkcję w systemie Windows, która pozwala użytkownikom na tworzenie łączy (symlinków) niezależnie od uprawnień kont użytkowników, co jest nadużywane przez wipera. Według badacza użytkownik, który nie ma wymaganych uprawnień do usuwania plików systemowych (.sys), nie będzie w stanie usunąć tych plików. Jednak tworząc katalog przynętę, był w stanie oszukać produkt zabezpieczający, aby usunąć plik, zamiast uniemożliwić jego usunięcie. Podobnie umieścił wewnątrz grupy ciąg znaków, który przypominał ścieżkę przeznaczoną do usunięcia (np. C:\temp\Windows\System32\drivers vs C:\Windows\System32\drivers).

 

Główne cechy wipera Aikido:

  • jest całkowicie niewykrywalny,
  • uniemożliwia uruchomienie systemu,
  • wymazuje ważne dane,
  • uruchamia się z uprawieniami nieuprzywilejowanego użytkownika,
  • usuwa katalog kwarantanny.

 

Z 11 testowanych produktów AV/EDR podatne okazały się

  • Defender
  • Defender for Endpoint
  • SentinelOne EDR
  • TrendMicro Apex One
  • Avast Antivirus
  • AVG Antywirus

 

Niepodatne na wipera Aikido są natomiast:

  • Palo Alto XDR
  • Cylance
  • CrowdStrike
  • McAfee
  • BitDefender

 

Podatności zostały zgłoszone do wszystkich producentów pomiędzy lipcem i sierpniem 2022 r. Co ważne w przypadku produktów Microsoft Defender i Microsoft Defender for Endpoint, nie udało się badaczowi osiągnąć arbitralnego usunięcia plików. W celu załatania podatności, trzech z producentów wydało następujące CVE: Microsoft – CVE-2022-37971, TrendMicro – CVE-2022-45797, Avast & AVG – CVE-2022-4173. Exploit ten został ** załatany przez trzech producentów oprogramowania, którzy wydali zaktualizowane wersje swoich programów: Microsoft Malware Protection Engine: 1.1.19700.2, TrendMicro Apex One: Hotfix 23573 & Patch_b11136, Avast & AVG Antivirus: 22.10.

 

Źródło:

SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions

SafeBreach-Labs / aikido_wiper

Opublikowane przez: CERT EXATEL

Inne artykuły_