Securitysoftware door sluwe truc ingezet als wipermalware

Het gaat om software voor endpoint detection and response (EDR), van leveranciers Microsoft, SentinelOne, TrendMicro, Avast en AVG. Onderzoeker Or Yair van securityleverancier SafeBreach heeft een eigen exploit ontwikkeld en dit getest op een totaal van 11 EDR-pakketten. Die bleken niet allemaal vatbaar om hun legitieme vermogen voor malwarevernietiging om te buigen naar kwaadaardig wiperwerk.

Security saboteert systemen

De niet kwetsbare securitytools zijn van leveranciers Palo Alto, Cylance, CrowdStrike, McAfee en BitDefender. Wél in te zetten als kwaadaardige datavernietiger zijn Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus en AVG Antivirus. Die securitysoftware valt door aanvallers in te zetten voor het wissen van gegevens en het saboteren van systemen.

Voor dat impactvolle werk hoeven die aanvallers ook niet eerste speciale rechten of hogere privileges te verkrijgen op de computers die ze te grazen willen nemen. De proof-of-concept Aikido Wiper die de ontdekker van deze kwetsbaarheid heeft ontwikkeld, valt door gewone gebruikers te activeren om zelfs mappen van beheerders te wissen. Bovendien kan een aanval langs deze weg veel minder opvallen omdat juist securitysoftware en legitieme functionaliteit daarvan wordt ingezet.

Detectie en omleiding

Onderzoeker Yair heeft een echt kwaadaardig bestand, dat dus terecht wordt gedetecteerd door EDR-pakketten, omgeleid naar bijvoorbeeld de Windows-map of zelfs de hele C-schijf. Met de tussenstap van een reboot, omdat Yair zijn kwaadaardige bestand bewust vergrendelt, valt de securitysoftware te misleiden om hele andere bestanden te wissen.

De getroffen leveranciers zijn afgelopen zomer verantwoord geïnformeerd door SafeBreach. Sindsdien is er met deze bedrijven samengewerkt om fixes te ontwikkelen. De leveranciers hebben inmiddels updates uitgebracht om deze kwetsbaarheden in hun producten te verhelpen.