Birçok güvenilir uç nokta algılama ve yanıt (EDR) teknolojisi, saldırganlara ürünleri kurulu sistemlerdeki neredeyse tüm verileri silmeleri için manipüle etme yolu sağlayan bir güvenlik açığına sahip olabilir.
Ya da SafeBreach’te sorunu keşfeden bir güvenlik araştırmacısı olan Yair, farklı satıcılardan 11 EDR aracını test etti ve toplam dört satıcıdan altısının savunmasız olduğunu buldu. Güvenlik açığı bulunan ürünler Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus ve SentinelOne idi.
Resmi CVE’ler ve Yamalar
Satıcılardan üçü, hatalar için resmi CVE numaraları atadı ve Yair, 7 Aralık Çarşamba günü Black Hat Europe konferansında sorunu açıklamadan önce onlar için yamalar yayınladı.
Yair, Black Hat’ta, yalnızca ayrıcalıksız bir kullanıcının izinlerine sahip bir silicinin savunmasız bir EDR’yi sistem dosyaları da dahil olmak üzere sistemdeki hemen hemen tüm dosyaları silmek için nasıl manipüle edebileceğini göstermek için geliştirdiği Aikido adlı kavram kanıtı kodunu yayınladı. Yair, Black Hat konuşmasının açıklamasında, “Windows’taki varsayılan uç nokta koruma ürünü de dahil olmak üzere, test ettiğimiz EDR ve AV ürünlerinin %50’sinden fazlasında bu güvenlik açıklarından yararlanmayı başardık” dedi. “Bunu gerçek saldırganlardan önce keşfettiğimiz için şanslıyız, çünkü bu araçlar ve güvenlik açıkları yanlış ellere geçtiğinde çok fazla hasar verebilirdi.” O sileceği tarif etti açıktan yararlanmaya açık EDR sürümlerini çalıştıran yüz milyonlarca uç noktaya karşı etkili olması muhtemeldir.
Dark Reading’e yaptığı yorumlarda Yair, güvenlik açığını etkilenen satıcılara Temmuz ve Ağustos ayları arasında bildirdiğini söylüyor. “Daha sonra, bu yayından önce bir düzeltme oluşturmak için önümüzdeki birkaç ay boyunca onlarla yakın bir şekilde çalıştık” diyor. “Satıcılardan üçü, bu güvenlik açığını gidermek için yazılımlarının veya yamalarının yeni sürümlerini yayınladı.” Üç satıcıyı Microsoft, TrendMicro ve Avast ve AVG ürünlerinin üreticisi Gen olarak tanımladı. “Bugün itibariyle, SentinelOne’dan resmi olarak bir düzeltme yayınlayıp yayınlamadıklarına dair henüz bir onay almadık” diyor.
Yair, güvenlik açığının bazı EDR araçlarının kötü amaçlı dosyaları nasıl sildiğiyle ilgili olduğunu açıklıyor. “Bu silme sürecinde çok önemli iki olay var” diyor. “EDR’nin bir dosyayı kötü amaçlı olarak algıladığı ve dosyanın gerçekten silindiği an vardır”, bu bazen sistemin yeniden başlatılmasını gerektirebilir. Yair, bu iki olay arasında bir saldırganın EDR’yi kötü amaçlı olarak tanımladığı dosyadan farklı bir dosyayı silmesine yönlendirmek için NTFS bağlantı noktaları olarak bilinenleri kullanma fırsatına sahip olduğunu keşfettiğini söylüyor.
NTFS bağlantı noktaları, sözde benzer sembolik bağlarbir sistemde başka bir yerde bulunan klasörlere ve dosyalara giden kısayol dosyalarıdır, ancak bağlantı noktaları farklı yerel birimlerdeki bağlantı dizinleri bir sistem üzerinde.
Sorunu Tetikleme
Yair, güvenlik açığı bulunan sistemlerde sorunu tetiklemek için önce, ayrıcalıksız bir kullanıcının izinlerini kullanarak kötü amaçlı bir dosya oluşturduğunu ve böylece EDR’nin dosyayı algılayıp silmeye çalıştığını söylüyor. Ardından, kötü amaçlı dosyayı açık tutarak EDR’yi silme işlemini yeniden başlatma sonrasına ertelemeye zorlamanın bir yolunu buldu. Bir sonraki adımı, sistemde bir C:\TEMP\ dizini oluşturmak, onu farklı bir dizine bir bağlantı noktası yapmak ve EDR ürünü kötü amaçlı dosyayı yeniden başlatmanın ardından silmeye çalıştığında, kötü amaçlı dosyayı bir yol izleyecek şekilde ayarlamaktı. tamamen farklı dosya. Yair, EDR ürününün izlemesi için bir dizin kısayolu oluşturarak ve içindeki hedeflenen dosyalara özel hazırlanmış yollar koyarak, bilgisayardaki farklı yerlerdeki birden çok dosyayı silmek için aynı numarayı kullanabileceğini keşfetti.
Yair, test edilen bazı EDR ürünleriyle rastgele dosya silme işlemini gerçekleştiremediğini, bunun yerine tüm klasörleri silebildiğini söylüyor.
Güvenlik açığı, kötü amaçlı dosyaların silinmesini sistem yeniden başlatılana kadar erteleyen EDR araçlarını etkiliyor. Bu durumlarda, EDR ürünü kötü amaçlı dosyanın yolunu satıcıya göre değişen bir konumda depolar ve yeniden başlatmanın ardından dosyayı silmek için yolu kullanır. Yair, bazı EDR ürünlerinin, yeniden başlatmanın ardından kötü amaçlı dosyanın yolunun aynı yere götürüp götürmediğini kontrol etmediğini ve saldırganlara yolun ortasına ani bir kısayol yapıştırma yolu verdiğini söylüyor. Bu tür güvenlik açıkları olarak bilinen bir sınıfa girer. Kontrol Süresi Kullanım Süresi
(TOCTOU) güvenlik açıklarını belirtiyor.
Yair, çoğu durumda kuruluşların silinen dosyaları kurtarabileceğini belirtiyor. Bu nedenle, bir sistemdeki dosyaları kendi kendine silen bir EDR’ye sahip olmak – kötü olsa da – en kötü durum değildir. Yair, “Bir silme tam olarak bir silme değildir” diyor. Bunu başarmak için Yair, Aikido’yu sildiği dosyaların üzerine yazacak ve onları kurtarılamaz hale getirecek şekilde tasarladı.
Geliştirdiği istismarın, tıpkı Aikido dövüş sanatında olduğu gibi, bir rakibin gücünü kendisine karşı kullanan bir düşman örneği olduğunu söylüyor. EDR araçları gibi güvenlik ürünleri, sistemler üzerinde süper kullanıcı haklarına sahiptir ve bunları kötüye kullanabilen bir düşman, saldırıları neredeyse algılanamaz bir şekilde gerçekleştirebilir. Yaklaşımı, bir düşmanın İsrail’in ünlü Demir Kubbe füze savunma sistemini onun yerine bir saldırı vektörüne dönüştürmesine benzetiyor.