Se han revelado vulnerabilidades de seguridad de alta gravedad en diferentes productos de detección y respuesta de punto final (EDR) y antivirus (AV) que podrían explotarse para convertirlos en borradores de datos.
«Este limpiador se ejecuta con los permisos de un usuario sin privilegios, pero tiene la capacidad de borrar casi cualquier archivo en un sistema, incluidos los archivos del sistema, y hacer que una computadora no pueda arrancar por completo», dijo Or Yair, investigador de SafeBreach Labs. dijo. «Hace todo eso sin implementar un código que toque los archivos de destino, lo que lo hace totalmente indetectable».
El software EDR, por diseño, es capaz de escanear continuamente una máquina en busca de archivos potencialmente sospechosos y maliciosos, y tomar las medidas adecuadas, como eliminarlos o ponerlos en cuarentena.
La idea, en pocas palabras, es engañar a los productos de seguridad vulnerables para que eliminen archivos y directorios legítimos del sistema y hacer que la máquina quede inoperable haciendo uso de rutas especialmente diseñadas.
Esto se logra aprovechando lo que se llama un punto de unión (también conocido como enlace suave), donde un directorio sirve como un alias para otro directorio en la computadora.
Dicho de otra manera, entre la ventana en la que el software EDR identifica un archivo como malicioso e intenta eliminar el archivo del sistema, el atacante usa un cruce para dirigir el software hacia una ruta diferente, como la unidad C:.
Sin embargo, el enfoque no resultó en un borrado ya que los EDR impidieron un mayor acceso a un archivo después de que se marcó como malicioso. Además, en caso de que el usuario elimine el archivo no autorizado, el software fue lo suficientemente inteligente como para detectar la eliminación y evitar actuar en consecuencia.
La solución definitiva llegó en forma de una herramienta de limpieza, denominada Aikidoque activa la eliminación privilegiada al crear un archivo malicioso en un directorio señuelo y no otorgarle ningún permiso, lo que hace que los EDR pospongan la eliminación hasta el próximo reinicio.
Dado este nuevo intervalo de ataque, todo lo que un adversario tiene que hacer es eliminar el directorio que contiene el archivo no autorizado, crear una unión para apuntar al directorio de destino que se eliminará y reiniciar el sistema.
El uso exitoso de la técnica como arma podría resultar en la eliminación de archivos del sistema como controladores, evitando que el sistema operativo arranque. También se puede abusar para eliminar todos los archivos de los directorios de usuarios administradores.
De los 11 productos de seguridad que se probaron, seis resultaron vulnerables a la explotación del borrador de día cero, lo que llevó a los proveedores a lanzar actualizaciones para abordar la deficiencia:
«El limpiador ejecuta sus acciones maliciosas utilizando la entidad más confiable del sistema: el EDR o AV», dijo Yair. «Los EDR y AV no evitan que eliminen archivos».