Molti popolari software antivirus, tra cui Microsoft, SentinelOne, TrendMicro, Avast e AVG, possono essere sfruttati per le loro capacità di cancellazione dei dati, ha affermato un importante ricercatore di sicurezza informatica.
In un documento di prova (si apre in una nuova scheda) chiamato "Aikido", Or Yair, che lavora per la società di sicurezza informatica SafeBreach, ha spiegato come funziona l'exploit attraverso quello che viene chiamato tempo di verifica della vulnerabilità (TOCTOU). .
In particolare, nelle arti marziali, l'aikido si riferisce a uno stile giapponese in cui il praticante cerca di usare il movimento e la forza dell'avversario contro se stesso.
Come funziona?
La vulnerabilità può essere utilizzata per facilitare una serie di attacchi informatici noti come "Wipers" secondo Yair, che sono comunemente utilizzati in situazioni di guerra offensiva.
Nella sicurezza informatica, un pulitore è una classe di malware destinata a pulire il disco rigido del computer che infetta, rimuovendo intenzionalmente dati e programmi.
Secondo la presentazione, l'exploit reindirizza il "superpotere" del software di rilevamento degli endpoint per "eliminare qualsiasi file, indipendentemente dai privilegi".
L'intero processo descritto comportava la creazione di un file dannoso in "C:tempWindowsSystem32driversndis.sys".
Successivamente si tiene premuto il relativo handle e si forza "l'AV/EDR a rinviare la rimozione fino al prossimo riavvio".
Segue l'eliminazione della "directory C:temp" e la "creazione di un join su C:temp --> C:", seguita da un riavvio della macchina.
Solo alcuni dei marchi di antivirus più popolari sono stati interessati, circa il 50% secondo Yair.
Secondo una presentazione preparata dal ricercatore, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus e AVG Antivirus sono tra quelli interessati dalla vulnerabilità.
Fortunatamente per alcuni, prodotti come Palo Alto, XDR, Cylance, CrowdStrike, McAfee e BitDefender sono rimasti illesi.
- Interessato ad aggiornare i tuoi strumenti di sicurezza informatica? Consulta la nostra guida ai migliori strumenti di rimozione malware