Birçok güvenilir uç nokta algılama ve yanıt (EDR) teknolojisi, saldırganlara ürünleri kurulu sistemlerdeki neredeyse tüm verileri silmeleri için manipüle etme yolu sağlayan bir güvenlik açığına sahip olabilir.
Veya sorunu keşfeden SafeBreach güvenlik araştırmacısı Yair, farklı satıcılardan 11 EDR aracını test etti ve toplam dört satıcıdan altısının savunmasız olduğunu buldu. Güvenlik açığı bulunan ürünler Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus ve SentinelOne idi.
Resmi CVE'ler ve Yamalar
Satıcılardan üçü, hatalar için resmi CVE numaraları atadı ve Yair, 7 Aralık Çarşamba günü Black Hat Europe konferansında sorunu açıklamadan önce onlar için yamalar yayınladı.
Yair, Black Hat'ta, yalnızca ayrıcalıksız bir kullanıcının izinlerine sahip bir silicinin savunmasız bir EDR'yi sistem dosyaları da dahil olmak üzere sistemdeki hemen hemen tüm dosyaları silmek için nasıl manipüle edebileceğini göstermek için geliştirdiği Aikido adlı kavram kanıtı kodunu yayınladı. Yair, Black Hat konuşmasının açıklamasında, "Windows'taki varsayılan uç nokta koruma ürünü dahil, test ettiğimiz EDR ve AV ürünlerinin %50'sinden fazlasında bu güvenlik açıklarından yararlanmayı başardık" dedi. "Bunu gerçek saldırganlardan önce keşfettiğimiz için şanslıyız çünkü bu araçlar ve güvenlik açıkları bir çok hasar yanlış ellere düşüyor.” O sileceği tarif etti açıktan yararlanmaya açık EDR sürümlerini çalıştıran yüz milyonlarca uç noktaya karşı etkili olması muhtemeldir.
Dark Reading'e yaptığı yorumlarda Yair, güvenlik açığını etkilenen satıcılara Temmuz ve Ağustos ayları arasında bildirdiğini söylüyor. "Daha sonra, bu yayından önce bir düzeltme oluşturmak için önümüzdeki birkaç ay boyunca onlarla yakın bir şekilde çalıştık" diyor. "Satıcılardan üçü, bu güvenlik açığını gidermek için yazılımlarının veya yamalarının yeni sürümlerini yayınladı." Üç sağlayıcıyı Microsoft, TrendMicro ve Avast ve AVG ürünlerinin üreticisi Gen olarak tanımlıyor. "Bugün itibariyle, SentinelOne'dan resmi olarak bir düzeltme yayınlayıp yayınlamadıklarına dair henüz bir onay almadık" diyor.
Yair, güvenlik açığının bazı EDR araçlarının kötü amaçlı dosyaları nasıl sildiğiyle ilgili olduğunu açıklıyor. “Bu silme sürecinde iki önemli olay var” diyor. "EDR'nin bir dosyayı kötü amaçlı olarak algıladığı ve dosyanın gerçekten silindiği zamanlar vardır", bu bazen sistemin yeniden başlatılmasını gerektirebilir. Yair, bu iki olay arasında bir saldırganın EDR'yi kötü amaçlı olarak tanımladığı dosyadan farklı bir dosyayı silmesine yönlendirmek için NTFS bağlantı noktaları olarak bilinenleri kullanma fırsatına sahip olduğunu keşfettiğini söylüyor.
NTFS bağlantı noktaları, sözde benzer sembolik bağlantılar, bir sistemde başka bir yerde bulunan klasörlere ve dosyalara giden kısayol dosyalarıdır, ancak bağlantı noktaları farklı yerel birimlerdeki bağlantı dizinleri bir sistemde.
Sorunu Tetikleme
Yair, güvenlik açığı bulunan sistemlerde sorunu tetiklemek için önce kötü amaçlı bir dosya oluşturduğunu - ayrıcalıksız bir kullanıcının izinlerini kullanarak - böylece EDR'nin dosyayı algılayıp silmeye çalıştığını söylüyor. Ardından, kötü amaçlı dosyayı açık tutarak EDR'yi silme işlemini yeniden başlatma sonrasına kadar ertelemeye zorlamanın bir yolunu buldu. Bir sonraki adımı, sistemde bir C:TEMP dizini oluşturmak, onu farklı bir dizine bir bağlantı noktası yapmak ve EDR ürünü kötü amaçlı dosyayı silmeye çalıştığında — yeniden başlatmanın ardından— bazı şeyleri ayarlamaktı. - tamamen farklı bir dosyaya giden yolu izledi. Yair, EDR ürününün izlemesi için bir dizin kısayolu oluşturarak ve içindeki hedeflenen dosyalara özel hazırlanmış yollar koyarak, bilgisayardaki farklı yerlerdeki birden çok dosyayı silmek için aynı numarayı kullanabileceğini keşfetti.
Yair, test edilen bazı EDR ürünleriyle rastgele dosya silme işlemini gerçekleştiremediğini, bunun yerine tüm klasörleri silebildiğini söylüyor.
Güvenlik açığı, kötü amaçlı dosyaların silinmesini sistem yeniden başlatılana kadar erteleyen EDR araçlarını etkiliyor. Bu durumlarda, EDR ürünü, kötü amaçlı dosyanın yolunu satıcıya göre değişen bir konumda depolar. - ve yeniden başlattıktan sonra dosyayı silmek için yolu kullanır. Yair, bazı EDR ürünlerinin, yeniden başlatmanın ardından kötü amaçlı dosyanın yolunun aynı yere götürüp götürmediğini kontrol etmediğini ve saldırganlara yolun ortasına ani bir kısayol yapıştırma yolu verdiğini söylüyor. Bu tür güvenlik açıkları olarak bilinen bir sınıfa girer. Kontrol Süresi Kullanım Süresi (TOCTOU) güvenlik açıkları, diye belirtiyor.
Yair, çoğu durumda kuruluşların silinen dosyaları kurtarabileceğini söylüyor. Bu nedenle, bir sistemdeki dosyaları kendi başına silmek için bir EDR almak, kötü olsa da, en kötü durum değildir. Yair, "Silme, tam olarak bir silme işlemi değildir" diyor. Bunu başarmak için Yair, Aikido'yu sildiği dosyaların üzerine yazacak ve onları kurtarılamaz hale getirecek şekilde tasarladı.
Geliştirdiği istismarın, tıpkı Aikido dövüş sanatında olduğu gibi, bir rakibin gücünü kendisine karşı kullanan bir düşman örneği olduğunu söylüyor. EDR araçları gibi güvenlik ürünleri, sistemler üzerinde süper kullanıcı haklarına sahiptir ve bunları kötüye kullanabilen bir düşman, saldırıları neredeyse algılanamaz bir şekilde gerçekleştirebilir. Yaklaşımı, bir düşmanın İsrail'in ünlü Demir Kubbe füze savunma sistemini onun yerine bir saldırı vektörüne dönüştürmesine benzetiyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-popular-edr-tools-destructive-data-wipers
