С помощью антивирусов Microsoft Defender и Kaspersky EDR можно безвозвратно удалить любые файлы из системы

Специалисты SafeBreach Labs продемонстрировали, что популярные антивирусные программы могут быть использованы во зло. С помощью таких ИБ-решений как Microsoft Defender и Kaspersky EDR злоумышленник может безвозвратно уничтожить любые файлы на целевой системе, причем сделать это удаленно.

Обмануть Defender

Антивирусные продукты Microsoft Defender и Kaspersky EDR могут быть использованы злоумышленниками для удаления файлов на компьютере жертвы, пишет The Register. Экспертами описана техника, которая позволяет обманом заставить антивирусы детектировать определенные файлы и после этого удалять.

Соответствующие уязвимости выявили исследователи безопасности Томер Бар (Tomer Bar) и Шмуэль Коэн (Shmuel Cohen) из американо-израильской компании SafeBreach. По заявлению специалистов, проблема может по-прежнему оставаться актуальной, несмотря на выпуск корректирующих патчей обоими ИБ-вендорами.

Атака основана на эксплуатации особенностей антивирусных продуктов Microsoft и «Лаборатории Касперского». Для выявления вредоносного ПО Defender и Kaspersky EDR используют байтовые сигнатуры – последовательность байтов, находящихся в заголовках файлов.

«Нашей целью было ввести EDR в заблуждение, внедрив вредоносные сигнатуры в легитимные файлы, и заставить их [антивирусы] воспринимать их как угрозу», – поясняют исследователи.

Freepik Недостатки в Microsoft Defender и Kaspersky EDR делают возможным удаление любых файлов

Для начала Бар и Коэн раздобыли байтовую сигнатуру, связанную с вредоносом – на портале VirusTotal. Затем эта сигнатура была интегрирована в файл базы данных, добиться удаление которой пытались исследователи – для этого в нее был добавлен новый пользователь с именем, включающим сигнатуру.

EDR-решения Microsoft и «Лаборатории Касперского» теперь расценивали всю базу данных целиком как зараженную зловредом. Если антивирус настроен таким образом, что автоматически удаляет опасные файлы – это не является редкостью, то и избавиться от совершенно «чистых», к примеру, БД или виртуальных машин, злоумышленнику не составит большого труда, в том числе удаленно. Причем, как показал эксперимент Бара и Коэна, уничтоженные таким образом данные не подлежат восстановлению средствами EDR-решений. Единственный способ вернуть утраченные файлы – обратиться к резервной копии.

Читать статью  Китай больше не нужен. В России появилось производство техники полного цикла «по азиатским ценам»

По словам Коэна, он с коллегами подумывал проверить этот вектор атаки на практике в условиях, приближенных к «боевым». Целью могла стать облачная инфраструктура самой Microsoft – сервис Azure, который защищен Defender. Однако от такого эксперимента пришлось отказаться из опасений по поводу возможного выхода сервиса из строя по всему миру.

Реакция ИБ-вендоров

Вместо этого SafeBreach сообщила о своей находке в Microsoft. В январе 2023 г. уязвимости был присвоен идентификатор CVE-2023-24860, а в апреле того же года корпорация выпустила исправление.

В «Лаборатории Касперского», как отмечает The Register, заявили, что проблему нельзя причислять к уязвимостям безопасности, так как поведение EDR-решения в описанной исследователями схеме продиктовано принципом его работы. Тем не менее в компании заверили специалистов в том, что «планируют некоторые улучшения, направленные на митигацию (уменьшение рисков — прим. CNews) проблемы».

Коэн отметил, что впоследствии «Лаборатория Касперского» действительно приняла меры, которые, судя по всему, позволили решить проблему. Однако утверждать, что злоумышленник точно не сможет обойти защиту, исследователь не берется.

Дискуссия в метавселенной: ИИ, обмен данными и иммерсивные сценарии ИТ в банках

В целом Бар и Коэн предпочли сосредоточиться на тестировании продукта Microsoft, поскольку он значительно более распространен, нежели Kaspersky EDR. Исследователи вновь обратились к услугам VirusTotal и повторили опыт с использованием другой сигнатуры. Несмотря на патч, выпущенный Microsoft, повторный эксперимент дуэта из SafeBreach увенчался успехом, о чем специалисты в августе 2023 г. уведомили разработчиков Defender.

К декабрю у разработчиков Defender было готово исправление – с его выходом у EDR-решения появился белый список, благодаря чему использовать ранее выявленный вектор атаки Бару и Коэну стало сложнее. Впрочем, проблему белого списка они решили быстро – оказалось достаточно одной команды PowerShell, чтобы заставить антивирус игнорировать исключения.

Читать статью  Samsung продал россиянину бракованный ТВ и отказался чинить. Россиянин отсудил трехкратную компенсацию

На третье сообщение SafeBreach в Microsoft отреагировали не патчем, а заявлением о том, что выявленная специалистами техника обхода новой функции безопасности сама по себе угрозы не представляет.

В компании предложили настраивать Defender таким образом, чтобы любая операция выполнялась только с одобрения пользователя. В Microsoft считают, что текущий подход, реализованный в антивирусе, является хорошо сбалансированным, обеспечивая адекватный уровень безопасности и функциональности.

Несмотря на такой исход, Коэн положительно оценил сотрудничество с Microsoft. По его мнению, в компании хорошо понимают проблему, однако устранить ее окончательно, вероятно, невозможно из-за ее фундаментального характера – для этого потребовалась бы полная переработка продукта.

Вайпер Akido

Специалисты SafeBreach давно изучают способы применения ИБ-продуктов в кибератаках.

8 задач, чтобы перезапустить инженерную школу в России импортонезависимость

В декабре 2022 г. CNews писал о программе-стирателе Akido, разработанной Ором Яиром (Or Yair), Вайпер, обладая привилегиями пользователя, способен уничтожать любые файлы на целевой машине, в том числе системные, силами целого ряда антивирусов, в том числе SentinelOne EDR, TrendMicro Apex One, Avast Antivirus, AVG Antivirus и Microsoft Defender. Иммунитетом к угрозе обладали Palo Alto XDR, Cylance, CrowdStrike, McAfee, BitDefender.

Aikido эксплуатирует уязвимость типа TOCTOU (Time-of-check Time-of-use; один из видов состояния гонки). Иначе говоря, он мастерски использует «окно возможности», которое образуется в промежутке между обнаружением какой-либо вредоносной программы антивирусом и ее безвозвратным удалением из файловой системы, подменяя зараженный файл легитимным при помощи точек соединения NTFS.

  • Приложения для слежки за чужим смартфоном, за которые вам ничего не будет

Дмитрий Степанов

Поделиться

Подписаться на новости Короткая ссылка

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *