不同的端点检测和响应 (EDR) 和防病毒 (AV) 产品中已披露了高严重性安全漏洞,这些产品可能会被利用将其变成数据擦除器。
SafeBreach Labs 研究员 Or Yair表示:“该擦除器以非特权用户的权限运行,但能够擦除系统上的几乎所有文件,包括系统文件,并使计算机完全无法启动。” “它在不执行接触目标文件的代码的情况下完成了所有这些工作,使其完全无法检测到。”
根据设计,EDR 软件能够持续扫描机器以查找潜在的可疑和恶意文件,并采取适当的措施,例如删除或隔离它们。
简而言之,这个想法是诱使易受攻击的安全产品删除系统上的合法文件和目录,并通过使用特制路径使机器无法运行。
这是通过利用所谓的连接点(又名软链接)实现的,其中一个目录充当计算机上另一个目录的别名。
换句话说,在 EDR 软件将文件识别为恶意文件并尝试从系统中删除该文件的窗口之间,攻击者使用连接将软件指向不同的路径,例如 C:\ 驱动器。
然而,这种方法并没有导致擦除,因为 EDR 在文件被标记为恶意后阻止了对文件的进一步访问。更重要的是,如果恶意文件被用户删除,该软件足够聪明地检测到删除并阻止自己对其进行操作。
最终的解决方案以一种名为Aikido的擦除器工具的形式出现,它通过在诱饵目录中创建一个恶意文件而不授予它任何权限来触发特权删除,从而导致 EDR 将删除操作推迟到下一次重启。
给定这个新的攻击间隔,对手所要做的就是删除包含流氓文件的目录,创建一个指向要删除的目标目录的连接,然后重新启动系统。
该技术的成功武器化可能会导致驱动程序等系统文件被删除,从而阻止操作系统启动。它也可能被滥用以从管理员用户目录中删除所有文件。
在经过测试的 11 款安全产品中,有 6 款被发现容易受到零日擦除器漏洞的攻击,促使供应商发布更新以解决这个缺点 -
CVE-2022-37971(CVSS 分数:7.1)- Microsoft Defender 和 Defender for Endpoint
CVE-2022-45797(CVSS 分数:N/A)- Trend Micro Apex One
CVE-2022-4173(CVSS 得分:8.8)- Avast 和 AVG 防病毒软件
“擦除器使用系统上最受信任的实体——EDR 或 AV 执行其恶意操作,”Yair 说。“EDR 和 AV 不会阻止自己删除文件。”
