Des vulnérabilités de sécurité de haute gravité ont été divulguées dans différents produits de détection et de réponse aux points d'accès (EDR) et antivirus (AV) qui pourraient être exploités pour les transformer en nettoyeurs de données.

Selon Or Yair, chercheur chez SafeBreach Labs, "ce nettoyeur s'exécute avec les autorisations d'un utilisateur non privilégié, mais il a la capacité d'effacer pratiquement tous les fichiers d'un système, y compris les fichiers système, et de rendre l'ordinateur totalement inutilisable". Il accomplit tout cela sans ajouter aucun code aux fichiers cibles, ce qui le rend totalement indétectable.

Par sa conception, le logiciel EDR peut analyser en permanence un ordinateur à la recherche de fichiers qui pourraient être dangereux ou suspects et prendre les mesures nécessaires, comme leur mise en quarantaine ou leur destruction.

Le plan consiste à utiliser des routes spécialement construites pour tromper les logiciels de sécurité faibles et les amener à effacer les fichiers et les répertoires valides du système et à détruire la machine.

Pour ce faire, il utilise un point de jonction, également appelé lien logiciel, dans lequel un répertoire de l'ordinateur joue le rôle d'alias pour un autre répertoire.

En d'autres termes, entre le moment où le logiciel EDR identifie un fichier comme étant malveillant et tente de le supprimer du système, l'attaquant utilise un point de jonction pour diriger le logiciel vers un autre chemin, comme le lecteur C:\.

Cette approche n'a toutefois pas abouti à un effacement, car les EDR empêchent tout nouvel accès à un fichier après qu'il a été signalé comme malveillant. De plus, si le fichier malveillant était supprimé par l'utilisateur, le logiciel était suffisamment intelligent pour détecter la suppression et s'empêcher d'agir.

La meilleure solution est venue sous la forme d'un utilitaire d'effacement appelé Aikido, qui permet aux EDR de retarder la suppression jusqu'au prochain redémarrage en créant un fichier malveillant dans un répertoire leurre et en ne lui donnant aucune autorisation.

Avec ce nouvel intervalle d'attaque, il suffit à un ennemi de supprimer le répertoire contenant le fichier malveillant, de construire une jonction pointant vers le répertoire cible à effacer et de redémarrer l'ordinateur.

Sur les 11 produits de sécurité testés, six se sont révélés vulnérables à l'exploit zero-day de wiper ce qui a incité les fournisseurs à publier des mises à jour pour remédier à ce problème :

·         CVE-2022-37971 (score CVSS : 7.1) - Microsoft Defender et Defender for Endpoint ;

·         CVE-2022-45797 (score CVSS : N/A) - Trend Micro Apex One ;

·         CVE-2022-4173 (score CVSS : 8.8) - Avast et AVG Antivirus.