安全产品(如EDR工具)往往拥有系统的超级用户权限,一旦被黑客入侵可用来发动几乎无法检测的攻击,造成难以估量的巨大损失。
在12月7日举行的欧洲黑帽大会上,SafeBreach安全研究员Yair发表了主题为“开发下一代擦除器”的演讲,并公布了对多家安全厂商的11种EDR工具的测试结果,其中四家厂商的六种工具存在严重漏洞。这些易受攻击的产品分别是Microsoft Windows Defender,Windows Defender for Endpoint、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus和SentinelOne。
在Yair披露漏洞之前,其中三家供应商已经为这些漏洞分配了正式的CVE编号并为其发布了补丁。
Yair还在黑帽大会上发布了名为Aikido的概念验证代码(一个数据擦除器),演示了仅拥有非特权用户权限的擦除器如何操纵存在漏洞的EDR工具擦除系统上的几乎所有文件,包括系统文件。
“超过半数的受测EDR和AV产品中存在该漏洞,包括Windows上的默认端点保护产品,”Yair在他的黑帽大会演讲中说:“我们很幸运能抢在黑客之前发现问题,因为这些工具和漏洞一旦落入坏人手中会造成难以估量的严重损失,易受该漏洞攻击的EDR版本管理着数亿个端点!”
Yair透露他在7月至8月期间向受影响的供应商报告了该漏洞。“然后,在接下来的几个月里,我们与供应商密切合作,在披露漏洞(利用)之前开发补丁程序,其中三家供应商发布了新版本的软件或补丁来解决这个漏洞。分别是微软,趋势科技和Gen(Avast与AVG的开发商)。但是没有收到SentinelOne发布修复程序的确认”。
Yair表示,披露的漏洞与某些EDR工具删除恶意文件的方式有关。“在这个删除过程中有两个关键事件,”Yair指出:“EDR有时会将文件检测为恶意文件,而实际删除文件时,有时可能需要重新启动系统。在这两个事件之间,攻击者有机会使用所谓的NTFS链接点来指示EDR删除与其标识为恶意的文件不同的文件。”
NTFS链接点类似于所谓的符号链接,符号链接是位于系统中其他位置的文件夹和文件的快捷方式文件,只是用于链接系统上不同本地卷上的目录。
Yair说道,为了在易受攻击的系统上触发问题,他首先创建了一个恶意文件,使用非特权用户权限,因此EDR将检测并尝试删除该文件。Yair找到了一种方法,通过保持恶意文件打开,强制EDR将删除推迟到重新启动后。然后,恶意文件会在系统上创建一个C:\\TEMP\\目录,使其成为另一个目录的联结点,并进行硬件设置,以便当EDR产品尝试执行删除恶意文件的操作时(重新启动后),会被导引到完全不同的文件。Yair发现黑客可以使用相同的技巧删除计算机上不同位置的多个文件,方法是创建一个目录快捷方式并将指向不同文件的特制路径放入其中。
Yair透露,在测试某些EDR产品时,虽然他无法删除指定文件,但是能够删除整个文件夹。
受该漏洞影响的主要是那些将删除恶意文件推迟到系统重启后的EDR工具。此类EDR产品将恶意文件的路径存储在某个位置(因供应商而异),并在重新启动后使用该路径删除文件。Yair表示,一些EDR产品在重新启动后不会检查恶意文件的路径是否指向同一位置,这为攻击者提供了一种在路径中间安插快捷方式的方法。他指出,此类漏洞属于检查与使用时间差(TOCTOU)漏洞。
参考链接:
https://www.blackhat.com/eu-22/briefings/schedule/index.html#aikido-turning-edrs-to-malicious-wipers-using--day-exploits-29336
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。