Антивирусы могут использоваться для удаления системных файлов Windows

Яиру удалось манипулировать системами обнаружения и реагирования на угрозы (EDR) и антивирусными программами таким образом, чтобы они выполняли роль инструментов удаления данных (вайперов) на устройствах Windows.

Эксплуатация обнаруженной уязвимости возможна, даже если злоумышленник обладает непривилегированным доступом и не имеет соответствующих разрешений на удаление файлов. Эксплойт может использоваться для удаления важных системных файлов, что может привести к невозможности загрузки системы или нарушению определенной функциональности.

Вайперы (Data wiper) представляют собой класс вредоносного ПО, предназначенного для стирания данных в компьютерных системах. Основной целью данных инструментов является уничтожение данных. Подобные средства используются в кибервойнах для поддержки физической агрессии или для нацеливания на инфраструктуру противника.

Для выполнения своей основной функции вайперам обычно приходиться обходить определенные средства защиты, например защиту от несанкционированного удаления файлов, а также ограничения системы пользовательских разрешений. Кроме того, чтобы гарантировать невозможность восстановления файлов, вайперам необходимо перезаписать содержимое файлов.

Системы защиты конечных точек и антивирусы могут стать отличными вайперами, потому что в случае успешной эксплуатации злоумышленник может использовать широкие привилегии данного типа ПО. Яир протестировал несколько идей на этот счет,  некоторые из них оказались неосуществимы. В ряде случаев для осуществления задуманного требовались повышенные привилегии или доступ на запись к определенным файлам.

Основная идея Яира — создать вредоносный файл во временном каталоге и перенаправить его на важный файл в системе в промежутке между моментом, когда защитное решение обнаружит угрозу и удалит ее.  Первоначально данный метод не сработал, как планировалось, поскольку некоторые антивирусы препятствовали доступу к обнаруженным файлам, в то время как другие продукты обнаруживали удаление файла и отклоняли отложенное действие.

Обойти это можно, оставив файл открытым, чтобы его нельзя было сразу удалить средствами защиты. В этом случае программы безопасности запросят перезагрузку системы, чтобы можно было получить доступ к вредоносному файлу и удалить его. Файлы добавляются в определенный раздел реестра, чтобы Windows знала, что удалять на этапе загрузки. Яир обнаружил, что процесс удаления будет следовать соединениям, созданным, чтобы указать операцию удаления на легитимный файл.

В результате работающее подтверждение концепции включает следующую последовательность действий:

• Создать вредоносный файл в системе по специальному пути.
• Оставить файл открытым, чтобы решения защиты не могли его удалить.
• Удалить каталог.
• Создать соединение, указывающее из удаленного каталога в другой.
• Перезагрузить систему.

Яир протестировал 11 различных антивирусов и решений защиты конечных точек. Шесть из них были уязвимы для эксплойта стирания файлов, включая Microsoft Defender, Microsoft Defender for Endpoint, Avast Antivirus, AVG AntiVirus FREE, SentinelOne EDR и TrendMicro Apex One.

Microsoft, TrendMicro и Avast/AVG уже выпустили патчи для исправления этой уязвимости.