Üst düzey bir siber güvenlik araştırmacısı, Microsoft, SentinelOne, TrendMicro, Avast ve AVG gibi birçok popüler antivirüs yazılımının veri silme yeteneklerinden yararlanılabileceğini iddia etti.
Kavram Kanıtında belge (yeni sekmede açılır) Siber güvenlik firması SafeBreach için çalışan “Aikido” lakaplı Or Yair, kullanım zamanı kontrol (TOCTOU) güvenlik açığı olarak bilinen açıklığın nasıl çalıştığını açıkladı.
Özellikle dövüş sanatlarında Aikido, uygulayıcının rakibinin hareketini ve gücünü kendisine karşı kullandığı bir Japon stilini ifade eder.
O nasıl çalışır?
Güvenlik açığı, Yair’e göre genellikle saldırgan savaş durumlarında kullanılan “Silecekler” olarak bilinen çeşitli siber saldırıları kolaylaştırmak için kullanılabilir.
Siber güvenlikte, bir silici, bulaştığı bilgisayarın sabit diskini silmeyi amaçlayan, verileri ve programları kötü niyetli olarak silen bir kötü amaçlı yazılım sınıfıdır.
Slayt destesine göre, istismar, uç nokta algılama yazılımının “süper gücünü” “ayrıcalıklar ne olursa olsun herhangi bir dosyayı silmek” için yönlendirir.
Özetlenen tüm süreç, “C:tempWindowsSystem32driversndis.sys” içinde kötü amaçlı bir dosya oluşturmayı içeriyordu.
Bunu, tutamacını tutarak ve “AV/EDR’yi silme işlemini bir sonraki yeniden başlatmaya kadar ertelemeye” zorlama takip eder.
Bunun ardından “C:temp dizini” silinir ve “C:temp –> C:’de bir bağlantı oluşturulur” ve ardından makine yeniden başlatılır.
Yair’e göre yalnızca en popüler antivirüs markalarından bazıları, yaklaşık %50 oranında etkilendi.
Araştırmacı tarafından hazırlanan bir slayt destesine göre Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus ve AVG Antivirus güvenlik açığından etkilenenler arasındaydı.
Neyse ki bazıları için Palo Alto, XDR, Cylance, CrowdStrike, McAfee ve BitDefender gibi ürünler zarar görmedi.
- Siber güvenlik araçlarınızı güncellemekle ilgileniyor musunuz? En iyi kötü amaçlı yazılım temizleme araçları kılavuzumuza göz atın
