Revelan cómo manipular los antivirus para que actúen como borradores de datos
Un investigador de seguridad ha encontrado una manera de explotar las capacidades de eliminación de datos del ampliamente utilizado software de detección y respuesta de punto final (EDR) y antivirus (AV) de Microsoft, SentinelOne, TrendMicro, Avast y AVG para convertirlos en borradores de datos.
Los borradores de datos (wipers) son un tipo especial de malware destructivo. Este malware borra o corrompe deliberadamente los datos en los sistemas comprometidos e intenta que las víctimas no puedan recuperar los datos.
Los wipers se han convertido en una herramienta de referencia para los grupos de amenazas persistentes avanzadas (APT) a medida que llevan a cabo la guerra cibernética y se utilizan cada vez más como un acto ofensivo para apoyar la guerra física. Un muy buen ejemplo es la guerra actual entre Rusia y Ucrania: ambos bandos han sido atacados por borradores de datos. Irán , Israel y Arabia Saudita también han sido objeto de ataques de wipers en los últimos años.
Al investigador de SafeBreach, Or Yair, se le ocurrió la idea de explotar las herramientas de seguridad existentes en un sistema objetivo para hacer que los ataques sean más sigilosos y eliminar la necesidad de que un hacker sea un usuario privilegiado para realizar ataques destructivos.
Además, abusar de EDR y AV para la eliminación de datos es una buena manera de eludir las defensas de seguridad. Esto porque las capacidades de eliminación de archivos de las soluciones de seguridad son un comportamiento esperado y probablemente se pasarían por alto.
Activar la eliminación (incorrecta)
El software de seguridad antivirus y EDR escanea constantemente el sistema de archivos de una computadora. Este tipo de software busca archivos maliciosos y, cuando se detecta malware, intenta ponerlos en cuarentena o eliminarlos.
Además, con la protección en tiempo real habilitada, a medida que se crea un archivo, se escanea automáticamente para determinar si es malicioso y, de ser así, se elimina o se pone en cuarentena.
“Hay dos eventos principales cuando un EDR elimina un archivo malicioso. Primero, el EDR identifica un archivo como malicioso y luego lo elimina”.
“Si pudiera hacer algo entre estos dos eventos, usando una unión, podría señalar el EDR hacia una ruta diferente. Estas se denominan vulnerabilidades de tiempo de verificación a tiempo de uso (TOCTOU).”
Informe de Yair
La idea de Yair era crear una carpeta C:\temp\Windows\System32\drivers
y almacenar el programa Mimikatz en la carpeta como ndis.sys.
Como la mayoría de las plataformas EDR detectan Mimikatz, incluido Microsoft Defender, el plan era que se detectara como malicioso en el momento de su creación. Sin embargo, antes de que el EDR pudiera eliminar el archivo, el investigador eliminó rápidamente la carpeta C:\Temp y creó una unión de Windows desde C:\Temp
a C:\Windows
.
La idea es que el EDR elimine el archivo ndis.sys, que debido a la unión ahora apunta al archivo legítimo C:\Windows\system32\drivers\ndis.sys
.
Esto no funcionó porque algunos EDR impidieron el acceso posterior a un archivo, incluida la eliminación, después de que se detectó como malicioso. En otros casos, los EDR detectaron la eliminación del archivo malicioso, por lo que el software descartó la acción de eliminación pendiente.
Activando el ataque
La solución fue crear el archivo malicioso, mantener su identificador manteniéndolo abierto y no definir qué otros procesos pueden escribir/eliminarlo para que los EDR y AV que lo detecten no puedan borrarlo.
Después de que se activó la detección y no tenía permisos para eliminar el archivo, las herramientas de seguridad solicitaron al investigador que aprobara un reinicio del sistema que liberaría el identificador, liberando el archivo malicioso para su eliminación.
El comando de eliminación de archivos, en este caso, se escribe bajo el valor del registro PendingFileRenameOperations Registry
, lo que hará que se elimine durante el reinicio.
Sin embargo, al eliminar los archivos en este valor, Windows elimina los archivos mientras sigue “a ciegas” las uniones.
“Pero lo sorprendente de esta función predeterminada de Windows es que una vez que se reinicia, Windows comienza a eliminar todas las rutas y sigue ciegamente las uniones”.
Por lo tanto, al implementar el siguiente proceso de cinco pasos, Yair puede eliminar archivos en un directorio en el que no tiene permisos de modificación.
- Crear una ruta especial con el archivo malicioso en
C:\temp\Windows\System32\drivers\ndis.sys
- Obligar al EDR o AV a posponer la eliminación hasta después del próximo reinicio
- Eliminar el directorio C:\temp
- Crear una unión C:\temp → C:\
- Reiniciar cuando se te solicite.
Otras amenazas
“Este exploit también es efectivo para una función de protección contra ransomware en Windows llamada Acceso controlado a carpetas. Esta función evita que los procesos no tratados modifiquen o eliminen cualquier archivo contenido dentro de una de las carpetas enumeradas en la lista de Carpetas protegidas. Sin embargo, dado que un EDR o AV es la entidad más confiable en un sistema, esta función no les impide eliminar estos archivos”.
SafeBreach
El analista implementó el exploit en una herramienta de borrado de datos que llamó “Aikido Wiper”, que es completamente indetectable. Esta herramienta puede ser iniciada por usuarios sin privilegios para borrar datos en los directorios de usuarios administradores e incluso puede hacer que el sistema no se pueda iniciar.
Impacto y respuesta
Yair probó el exploit con 11 herramientas de seguridad y descubrió que Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus y AVG Antivirus eran todos vulnerables.
Las soluciones de seguridad que no pudo explotar incluyen Palo Alto, Cylance, CrowdStrike, McAfee y BitDefender, que el analista también probó.
Aikido presenta exploits para vulnerabilidades encontradas en Microsoft Defender, Defender for Endpoint y SentinelOne EDR porque fueron las más fáciles de implementar en la herramienta de borrado.
Yair informó las vulnerabilidades a todos los proveedores vulnerables entre julio y agosto de 2022, y hasta ahora todos han publicado correcciones.
Los IDs de vulnerabilidad asignados por los proveedores para este problema son CVE-2022-37971 (Microsoft), CVE-2022-45797 (Trend Micro) y CVE-2022-4173 (Avast y AVG).
Las versiones reparadas son:
- Motor de protección contra malware de Microsoft: 1.1.19700.2 o posterior
- TrendMicro Apex One: revisión 23573 y parche_b11136 o posterior
- Avast y AVG Antivirus: 22.10 o posterior
Recomendamos a todos los usuarios de los productos anteriores que apliquen las actualizaciones de seguridad lo antes posible para mitigar el grave riesgo de que un malware que imita la función de limpieza de Aikido elimine tus archivos.