Les EDR et les antivirus peuvent devenir des armes contre les utilisateurs !
Des vulnérabilités de sécurité de haute gravité ont été
divulguées dans différents produits de détection et de réponse aux points
d'accès (EDR) et antivirus (AV) qui pourraient être exploités pour les
transformer en nettoyeurs de données.
Selon Or Yair, chercheur chez SafeBreach Labs, "ce
nettoyeur s'exécute avec les autorisations d'un utilisateur non privilégié,
mais il a la capacité d'effacer pratiquement tous les fichiers d'un système, y
compris les fichiers système, et de rendre l'ordinateur totalement inutilisable".
Il accomplit tout cela sans ajouter aucun code aux fichiers cibles, ce qui le
rend totalement indétectable.
Par sa conception, le logiciel EDR peut analyser en
permanence un ordinateur à la recherche de fichiers qui pourraient être
dangereux ou suspects et prendre les mesures nécessaires, comme leur mise en
quarantaine ou leur destruction.
Le plan consiste à utiliser des routes spécialement
construites pour tromper les logiciels de sécurité faibles et les amener à
effacer les fichiers et les répertoires valides du système et à détruire la
machine.
Pour ce faire, il utilise un point de jonction, également
appelé lien logiciel, dans lequel un répertoire de l'ordinateur joue le rôle
d'alias pour un autre répertoire.
En d'autres termes, entre le moment où le logiciel EDR
identifie un fichier comme étant malveillant et tente de le supprimer du
système, l'attaquant utilise un point de jonction pour diriger le logiciel vers
un autre chemin, comme le lecteur C:\.
Cette approche n'a toutefois pas abouti à un effacement, car
les EDR empêchent tout nouvel accès à un fichier après qu'il a été signalé
comme malveillant. De plus, si le fichier malveillant était supprimé par
l'utilisateur, le logiciel était suffisamment intelligent pour détecter la
suppression et s'empêcher d'agir.
La meilleure solution est venue sous la forme d'un
utilitaire d'effacement appelé Aikido, qui permet aux EDR de retarder la
suppression jusqu'au prochain redémarrage en créant un fichier malveillant dans
un répertoire leurre et en ne lui donnant aucune autorisation.
Avec ce nouvel intervalle d'attaque, il suffit à un ennemi
de supprimer le répertoire contenant le fichier malveillant, de construire une
jonction pointant vers le répertoire cible à effacer et de redémarrer
l'ordinateur.
Sur les 11 produits de sécurité testés, six se sont révélés vulnérables
à l'exploit zero-day de wiper ce qui a incité les fournisseurs à publier des
mises à jour pour remédier à ce problème :
·
CVE-2022-37971 (score CVSS
: 7.1) - Microsoft Defender et Defender for Endpoint ;
·
CVE-2022-45797 (score CVSS
: N/A) - Trend Micro Apex One ;
·
CVE-2022-4173 (score CVSS :
8.8) - Avast et AVG Antivirus.