Antivirusni softver može biti zloupotrebljen radi brisanja podataka

Mnogi popularni antivirusni softveri kao što su Microsoft, SentinelOne, TrendMicro, Avast i AVG mogu se iskoristiti zbog svoje mogućnosti brisanja podataka, tvrdi vrhunski istraživač sajber bezbednosti.

Može biti pogođeno do 50% popularnih antivirusnih alata

U dokumentu Proof-of-Concept nazvanom „Aikido“, Or Yair, koji radi za kompaniju za sajber bezbednost SafeBreach, objasnio je kako eksploatacija funkcioniše preko onoga što je poznato kao time-of-check to time-of-use (TOCTOU) ranjivost. U borilačkim veštinama, aikido se odnosi na japanski stil gde vežbač nastoji da upotrebi pokret i silu protivnika protiv sebe. Kako to funkcioniše? Ranjivost se može koristiti za olakšavanje raznih sajber-napada poznatih kao “Wipers” prema Yairu, koji se obično koriste u ofanzivnim ratnim situacijama. U sajber bezbednosti, vajper je klasa malvera čiji je cilj brisanje hard diska računara koji inficira, zlonamerno brisanje podataka i programa.

Prema slajd deku, eksploatacija preusmerava “supermoć” softvera za otkrivanje krajnjih tačaka da “izbriše bilo koji fajl bez obzira na privilegije”. Kompletan proces koji je opisan uključivao je kreiranje zlonamerne datoteke u “C:\temp\Windows\System32\drivers\ndis.sys”. Nakon toga sledi držanje njegove ručke i prisiljavanje „AV/EDR da odloži brisanje do sledećeg ponovnog pokretanja“. Nakon toga sledi brisanje C:\temp directory” i “kreiranje spoja u C:\temp –> C:\”, nakon čega sledi ponovno pokretanje mašine.

Samo neki od najpopularnijih antivirusnih brendova su pogođeni, oko 50% prema Yair-u. Prema dijapozitivu koji je pripremio istraživač, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus i AVG Antivirus bili su neki od onih koji su pogođeni. Srećom za neke, proizvodi kao što su Palo Alto, XDR, Cylance, CrowdStrike, McAfee i BitDefender ostali su neoštećeni.

Izvor: Techradar