Qu’est-ce qui vient juste de se passer? Les programmes antivirus et anti-malware sont censés être le type de logiciel le plus fiable installé sur un PC. Exploitant ce statu quo bien connu, un chercheur en sécurité a créé un outil d’effacement des données potentiellement capable d’effacer toutes les données présentes sur un système.

Ou Yair, chercheur en sécurité chez SafeBreach, a découvert plusieurs vulnérabilités de type « jour zéro » qui pourraient transformer les outils de détection et de réponse des terminaux (EDR) et antivirus en « essuie-glaces de nouvelle génération », une nouvelle menace potentielle affectant des centaines de millions de systèmes de terminaux (y compris les systèmes grand public). PC) partout dans le monde.

Un essuie-glace est un type de malware destructeur conçu pour effacer ou corrompre des fichiers sur un système compromis, au point de rendre inutile tout effort pour récupérer lesdits fichiers. Les essuie-glaces doivent avoir un accès complet à un système de fichiers pour faire leurs sales actions, le même type d’accès dont ont besoin par coïncidence les programmes antivirus et EDR pour agir rapidement contre une menace nouvellement détectée.

Comme Yaïr expliqué, « il y a deux événements principaux lorsqu’un EDR supprime un fichier malveillant » : d’abord, le logiciel de protection identifie un fichier comme malveillant, puis il le supprime. L’objectif de Yair était d’essayer de faire quelque chose entre ces deux événements, en utilisant un point de jonction (un type de lien symbolique présent dans le système de fichiers NTFS) pour pointer l’outil EDR vers un chemin différent.

2022 12 14 image 5

Le chercheur recherchait les vulnérabilités dites du temps de vérification au temps d’utilisation (TOCTOU), en utilisant un Mimikatz-programme de type caché comme une fausse imitation du ndis.sys Pilote réseau Windows. La première tentative de redirection du lien ndis.sys d’origine (C:\Windows\system32\drivers\ndis.sys) vers le faux a échoué, car certains programmes EDR ont empêché l’accès au programme Mimikatz après l’avoir détecté comme une menace.

Yair a encore développé sa technique, en gardant le fichier malveillant ouvert et en forçant l’antivirus à demander un redémarrage pour le supprimer. C’était l’ouverture que le chercheur attendait : en manipulant le Registre et en redémarrant, le nouvel Aikido Wiper – ainsi nommé par son créateur – pouvait supprimer des répertoires entiers, voire même la racine du disque système (C:\) sans avoir besoin de avoir des privilèges d’administrateur.

Yair a testé son Aikido Wiper contre 11 solutions de sécurité, découvrant que 50% d’entre eux étaient vulnérables à la nouvelle technique. L’antivirus vulnérable comprenait Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus, tandis que d’autres solutions (Palo Alto, Cylance, CrowdStrike, McAfee et BitDefender, entre autres) n’étaient pas exploitables.

Le chercheur a signalé les failles qu’il a découvertes à tous les fournisseurs impliqués au cours des derniers mois, et les entreprises ont répondu en publiant des correctifs pour leurs solutions EDR vulnérables.