Microsoft DefenderやAvastなどの人気アンチウイルスソフトからPC のデータを完全破壊してしまう脆弱性「Aikido(合気道)」が見つかる

1 : 2022/12/15(木) 19:28:51.38 ID:lqn2mJuu9

発見したSafeBreachは11本のセキュリティソフトウェアをテストし、Microsoft Defender・Microsoft Defender for Endpoint・SentinelOne EDR・TrendMicro Apex One・Avast Antivirus・AVG Antivirusの6本が影響を受けることを確認。Palo Alto XDR・Cylance・CrowdStrike・McAfee・BitDifenderの5本は影響を受けなかったという。なお、Microsoft製品の場合、ターゲットファイルだけでなくファイルが格納されているディレクトリごと削除されるとのこと。

この脆弱性を利用してSafeBreachが作成したワイパーツールは日本の合気道にちなんで「Aikido Wiper Tool」と呼ばれている。ファイル削除はセキュリティソフトウェアが実行するため検知されることはなく、非特権ユーザーとして実行してシステムを起動不可能にしたり、特権ユーザーにアクセスが制限されている重要なデータを消去したりといったことが可能だ。セキュリティソフトウェアが検疫したファイルを格納するフォルダーを削除することも可能だという。(以下ソース)

2022年12月14日 17時04分
https://srad.jp/story/22/12/13/187234

 具体的には、まず権限を必要としないディレクトリ下に、削除したいファイルと似たファイルのパス、そして同じファイル名の悪意のあるファイルを置く。EDRがそれを検出したあとタイミング(つまりTOCTOU)で、悪意のあるファイルを消して、ターゲットファイルのジャンクションポイントに置き換える。するとEDRは次の削除のタイミングでジャンクション先のファイルを消去するため、ターゲットのファイルを削除できる、というものだ。

 ただこのままでは、ほとんどのEDRがファイルシステムを正しく制御でき、なおかつジャンクションに置き換えたタイミングで、脅威として認識されなくなったため、削除されなかったのだという。

 そこでYair氏はWindowsが持つファイルハンドルの仕組みを使用してみることにした。つまり、悪意のあるファイルが、ソフトによって開かれたままになっているということをEDRに誤認識させ、直ちには削除の許可を与えないというものだ。するとEDRやAVは脅威の削除には再起動が必要だと警告してきたのだという。

 この再起動後の削除について、2つの現象が観察できるが、このうちの1つはWindowsのデフォルトのAPIを使用して次の再起動後に削除するものだった。そしてこのデフォルトのWindows APIは、MOVEFLIE_DELAY_UNTIL_REBOOTフラグを指定したMoveFileEx関数であり、関数がこのフラグを受け取るとPendingFileRenameOperationsというレジストリ値に、再起動後に削除するパスのエントリを追加する。

 このフラグの利用には管理者特権が必要であったのだが、Windowsは再起動後になんとこの自身の標準機能によって、ジャンクションポイントで指定された通りのファイルを削除し始めたのだという。ちなみに、本来Windowsのランサムウェア保護機能によって保護されたフォルダやファイルが変更/削除されることが防げるはずなのだが、EDRとAVはシステム上で最も信頼されているエンティティであったため削除を防げず、こうして合気道ワイパーが完成してしまったのだという。(以下ソース)

2022年12月13日 13:20
https://pc.watch.impress.co.jp/docs/news/1463/237/index.html

Microsoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。

アメリカのサイバーセキュリティ企業・SafeBreachは2022年12月7日に、ターゲットとなるシステム上にインストールされているセキュリティソフトを悪用してステルス化された攻撃を行い、特権なしで被害者の端末のデータを削除することができるとの概念実証(PoC)を報告しました。

SafeBreachのセキュリティ研究者であるOr Yair氏によると、多くのアンチウイルスソフトのリアルタイム保護機能は「自動スキャンによる悪意あるファイルの検出」と「悪意あるファイルの削除」という2つの段階に分けることができるとのこと。

(中略)

「Aikido Wiper」は、システム上で最も信頼されているセキュリティソフトの機能を悪用するため、検出したりファイルの削除を阻止したりすることは不可能です。また、ドライバーを含む重要なシステムファイルを削除することが可能なため、OSが起動できなくなるおそれもあります。(以下ソース)

2022年12月12日 12時05分
https://gigazine.net/news/20221212-antivirus-edr-data-wipers/
レス1番のサムネイル画像

2 : 2022/12/15(木) 19:30:04.28 ID:p8QvhQCX0
知らないアル
3 : 2022/12/15(木) 19:30:10.15 ID:9KXZJpID0
合気(あいき)とは、
4 : 2022/12/15(木) 19:30:20.04 ID:X5OIZZfA0
ウィルス対策ソフトとかいうウィルスソフト
5 : 2022/12/15(木) 19:30:21.54 ID:IRcEuTUP0
ハプキド禁止で
6 : 2022/12/15(木) 19:30:49.70 ID:Yp28K0Sr0
>>1
十年早いんだよぉ!
7 : 2022/12/15(木) 19:31:20.65 ID:sqqk9QeY0
なんで手口を公開するんだ?
対策ができてから公開しろよ
19 : 2022/12/15(木) 19:37:06.27 ID:LBD5Ix680
>>7
もうとっくにパッチ出てる
8 : 2022/12/15(木) 19:31:21.40 ID:3qlkgXVL0
デジタルセガールとか打つ手なし
9 : 2022/12/15(木) 19:32:21.45 ID:bxV4M9Rd0
( ´,_ゝ`)プッ
10 : 2022/12/15(木) 19:32:53.02 ID:icdXXxmW0
悪意のあるソフトウェアの削除ツール
11 : 2022/12/15(木) 19:33:11.11 ID:5/1DOE9x0
有料のセキュリティアプリ、やっぱり必要だな
12 : 2022/12/15(木) 19:33:29.51 ID:/BUpwobI0
ESETはセーフ?
13 : 2022/12/15(木) 19:34:49.79 ID:23plBmrK0
イメージバックアップ取ってあるし~
いつでも来いやwww
14 : 2022/12/15(木) 19:35:02.25 ID:/EFOQTgk0
行政文書消すのにちょうどよさそうだよね
37 : 2022/12/15(木) 19:47:45.00 ID:oJX0sOle0
>>14
もうドリルのせいにしなくて済むってことか
自民党さんもにっこりやね
15 : 2022/12/15(木) 19:35:16.25 ID:9KXZJpID0
もう癌癌癌速しか見えねえな?(白目)
16 : 2022/12/15(木) 19:36:19.33 ID:7A/UFlUK0
ノートン先生は
17 : 2022/12/15(木) 19:36:37.65 ID:IouUGd2B0
Gigazineの記事ってほんと読みにくい
18 : 2022/12/15(木) 19:37:00.07 ID:tr0GL3NN0
なるほど、システム本体の力を利用するから合気か
21 : 2022/12/15(木) 19:38:04.47 ID:/vPgJUZ30
もうdefenderだけでいいのかな
38 : 2022/12/15(木) 19:47:45.70 ID:jkcS9TLH0
>>21
そのdefenderもこれ食らう。
22 : 2022/12/15(木) 19:38:14.32 ID:+1/ilrmJ0
McAfeeがセーフ?えー(疑いの視線
23 : 2022/12/15(木) 19:39:06.91 ID:7lINWNhg0
もう修正されたの?
24 : 2022/12/15(木) 19:39:58.30 ID:Cw7Mgj6G0
文章分かりにくいコードだ
25 : 2022/12/15(木) 19:40:59.40 ID:eHUNaGim0
昔ノートン先生が誤検知してwindowsの重要ファイル削除した事があったな
26 : 2022/12/15(木) 19:42:29.81 ID:2SH7eKux0
糞コーディングの香りがする文章
27 : 2022/12/15(木) 19:42:37.21 ID:Fy5uhlEH0
もうどこもクリスマス休暇に入ってるから対策されるのは年明けだな
28 : 2022/12/15(木) 19:42:51.32 ID:uMHqT3qA0
Palo強いんだな
29 : 2022/12/15(木) 19:42:52.15 ID:nn0cfQch0
アップデで不具合連発するWindowsは公式ウィルスだからな
30 : 2022/12/15(木) 19:43:07.93 ID:44g3bZBH0
> まず権限を必要としないディレクトリ下に、削除したいファイルと似たファイルのパス
似たファイルのパスってのが何故必要なのか分からん
31 : 2022/12/15(木) 19:43:20.99 ID:RycQb03+0
ジャンクションこれ悪い使い方できるよなと思ってたらついにか
32 : 2022/12/15(木) 19:44:01.00 ID:zPeekQ4X0
結論だけ述べてくれ
33 : 2022/12/15(木) 19:45:21.36 ID:WpP/i02r0
触れずに倒せるまさに合気
34 : 2022/12/15(木) 19:45:34.37 ID:r1qY7E7Z0
恐ろしいな
35 : 2022/12/15(木) 19:46:26.01 ID:2ZSF8bIS0
破壊するウィルスってなんか意味あるのかな
情報は抜き取るものでしょ?
36 : 2022/12/15(木) 19:47:02.28 ID:mCTKw5980
やっぱりカスペルスキーがさいつよやったんや
39 : 2022/12/15(木) 19:48:11.15 ID:gA3TEcY/0
合気会はなんと言ってる?
40 : 2022/12/15(木) 19:49:43.55 ID:zYogfx7V0
Aviraはどうなん?
41 : 2022/12/15(木) 19:50:01.02 ID:C438qoDS0
愛起動だろ
42 : 2022/12/15(木) 19:50:32.27 ID:Rxe9OOOh0
やっぱり情強はカスペルスキーやな
43 : 2022/12/15(木) 19:51:24.59 ID:dI8H259+0
やっぱりウイルスバスターに限るね
44 : 2022/12/15(木) 19:52:31.29 ID:gNVVS3p30
なるほどー面白いなー
カウンター決めるわけか
そういうタイミングを制御できたら他のソフトやらでも色々できそうだよね
45 : 2022/12/15(木) 19:53:17.94 ID:dRUHt3pc0
削除じゃなくて破壊って表現が何を表してるかだよね
ブート部分を書き換えてしまうとか?
でもそれもちょっと違う感じもする
なんなんだろ
46 : 2022/12/15(木) 19:53:22.05 ID:ws+3UAgy0
十何年か前にもavastを更新したらシステムファイルが消されてos壊されたってことがあったな
avastスレが阿鼻叫喚だった
47 : 2022/12/15(木) 19:54:19.83 ID:HifANsHG0
aikidoに対抗するにはkamitukiだよ

ジャックハンマーさんお願いします

48 : 2022/12/15(木) 19:54:57.40 ID:dvB5SNFV0
また日本人が世界に迷惑をかけてるのか

コメント