-
発見したSafeBreachは11本のセキュリティソフトウェアをテストし、Microsoft Defender・Microsoft Defender for Endpoint・SentinelOne EDR・TrendMicro Apex One・Avast Antivirus・AVG Antivirusの6本が影響を受けることを確認。Palo Alto XDR・Cylance・CrowdStrike・McAfee・BitDifenderの5本は影響を受けなかったという。なお、Microsoft製品の場合、ターゲットファイルだけでなくファイルが格納されているディレクトリごと削除されるとのこと。
この脆弱性を利用してSafeBreachが作成したワイパーツールは日本の合気道にちなんで「Aikido Wiper Tool」と呼ばれている。ファイル削除はセキュリティソフトウェアが実行するため検知されることはなく、非特権ユーザーとして実行してシステムを起動不可能にしたり、特権ユーザーにアクセスが制限されている重要なデータを消去したりといったことが可能だ。セキュリティソフトウェアが検疫したファイルを格納するフォルダーを削除することも可能だという。(以下ソース)
2022年12月14日 17時04分
https://srad.jp/story/22/12/13/187234具体的には、まず権限を必要としないディレクトリ下に、削除したいファイルと似たファイルのパス、そして同じファイル名の悪意のあるファイルを置く。EDRがそれを検出したあとタイミング(つまりTOCTOU)で、悪意のあるファイルを消して、ターゲットファイルのジャンクションポイントに置き換える。するとEDRは次の削除のタイミングでジャンクション先のファイルを消去するため、ターゲットのファイルを削除できる、というものだ。
ただこのままでは、ほとんどのEDRがファイルシステムを正しく制御でき、なおかつジャンクションに置き換えたタイミングで、脅威として認識されなくなったため、削除されなかったのだという。
そこでYair氏はWindowsが持つファイルハンドルの仕組みを使用してみることにした。つまり、悪意のあるファイルが、ソフトによって開かれたままになっているということをEDRに誤認識させ、直ちには削除の許可を与えないというものだ。するとEDRやAVは脅威の削除には再起動が必要だと警告してきたのだという。
この再起動後の削除について、2つの現象が観察できるが、このうちの1つはWindowsのデフォルトのAPIを使用して次の再起動後に削除するものだった。そしてこのデフォルトのWindows APIは、MOVEFLIE_DELAY_UNTIL_REBOOTフラグを指定したMoveFileEx関数であり、関数がこのフラグを受け取るとPendingFileRenameOperationsというレジストリ値に、再起動後に削除するパスのエントリを追加する。
このフラグの利用には管理者特権が必要であったのだが、Windowsは再起動後になんとこの自身の標準機能によって、ジャンクションポイントで指定された通りのファイルを削除し始めたのだという。ちなみに、本来Windowsのランサムウェア保護機能によって保護されたフォルダやファイルが変更/削除されることが防げるはずなのだが、EDRとAVはシステム上で最も信頼されているエンティティであったため削除を防げず、こうして合気道ワイパーが完成してしまったのだという。(以下ソース)
2022年12月13日 13:20
https://pc.watch.impress.co.jp/docs/news/1463/237/index.htmlMicrosoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。
アメリカのサイバーセキュリティ企業・SafeBreachは2022年12月7日に、ターゲットとなるシステム上にインストールされているセキュリティソフトを悪用してステルス化された攻撃を行い、特権なしで被害者の端末のデータを削除することができるとの概念実証(PoC)を報告しました。
SafeBreachのセキュリティ研究者であるOr Yair氏によると、多くのアンチウイルスソフトのリアルタイム保護機能は「自動スキャンによる悪意あるファイルの検出」と「悪意あるファイルの削除」という2つの段階に分けることができるとのこと。
(中略)
「Aikido Wiper」は、システム上で最も信頼されているセキュリティソフトの機能を悪用するため、検出したりファイルの削除を阻止したりすることは不可能です。また、ドライバーを含む重要なシステムファイルを削除することが可能なため、OSが起動できなくなるおそれもあります。(以下ソース)
2022年12月12日 12時05分
https://gigazine.net/news/20221212-antivirus-edr-data-wipers/
-
知らないアル
-
合気(あいき)とは、
-
ウィルス対策ソフトとかいうウィルスソフト
-
ハプキド禁止で
-
>>1
十年早いんだよぉ! -
なんで手口を公開するんだ?
対策ができてから公開しろよ -
>>7
もうとっくにパッチ出てる -
デジタルセガールとか打つ手なし
-
( ´,_ゝ`)プッ
-
悪意のあるソフトウェアの削除ツール
-
有料のセキュリティアプリ、やっぱり必要だな
-
ESETはセーフ?
-
イメージバックアップ取ってあるし~
いつでも来いやwww -
行政文書消すのにちょうどよさそうだよね
-
>>14
もうドリルのせいにしなくて済むってことか
自民党さんもにっこりやね -
もう癌癌癌速しか見えねえな?(白目)
-
ノートン先生は
-
Gigazineの記事ってほんと読みにくい
-
なるほど、システム本体の力を利用するから合気か
-
もうdefenderだけでいいのかな
-
>>21
そのdefenderもこれ食らう。 -
McAfeeがセーフ?えー(疑いの視線
-
もう修正されたの?
-
文章分かりにくいコードだ
-
昔ノートン先生が誤検知してwindowsの重要ファイル削除した事があったな
-
糞コーディングの香りがする文章
-
もうどこもクリスマス休暇に入ってるから対策されるのは年明けだな
-
Palo強いんだな
-
アップデで不具合連発するWindowsは公式ウィルスだからな
-
> まず権限を必要としないディレクトリ下に、削除したいファイルと似たファイルのパス
似たファイルのパスってのが何故必要なのか分からん -
ジャンクションこれ悪い使い方できるよなと思ってたらついにか
-
結論だけ述べてくれ
-
触れずに倒せるまさに合気
-
恐ろしいな
-
破壊するウィルスってなんか意味あるのかな
情報は抜き取るものでしょ? -
やっぱりカスペルスキーがさいつよやったんや
-
合気会はなんと言ってる?
-
Aviraはどうなん?
-
愛起動だろ
-
やっぱり情強はカスペルスキーやな
-
やっぱりウイルスバスターに限るね
-
なるほどー面白いなー
カウンター決めるわけか
そういうタイミングを制御できたら他のソフトやらでも色々できそうだよね -
削除じゃなくて破壊って表現が何を表してるかだよね
ブート部分を書き換えてしまうとか?
でもそれもちょっと違う感じもする
なんなんだろ -
十何年か前にもavastを更新したらシステムファイルが消されてos壊されたってことがあったな
avastスレが阿鼻叫喚だった -
aikidoに対抗するにはkamitukiだよ
ジャックハンマーさんお願いします
-
また日本人が世界に迷惑をかけてるのか
Microsoft DefenderやAvastなどの人気アンチウイルスソフトからPC のデータを完全破壊してしまう脆弱性「Aikido(合気道)」が見つかる
ニュー速+
コメント