Resumen:
Recientemente, los investigadores de seguridad de SafeBreach detectaron una nueva vía para explotar los programas EDR y antivirus, convirtiéndolos en una especie de programas maliciosos también conocidos como wipers.
Un wiper es un tipo de malware que pretende borrar todos los datos del sistema de su víctima de manera integral e irreversible.
Durante su análisis, los investigadores de SafeBreach realizaron varias pruebas con distintas herramientas de seguridad, con el objetivo de lanzar ataques sigilosos sin la necesidad de adquirir privilegios de administrador en el sistema del objetivo.
Una pieza clave para su descubrimiento, fue el análisis del proceso mediante el que un EDR o un software antivirus elimina los archivos maliciosos.
Para ello, detectaron dos etapas principales cuando se elimina un archivo malicioso. Primero, el software de seguridad identifica y etiqueta dicho archivo como malicioso y posteriormente lo elimina.
Durante este proceso, si se interviene con una vulnerabilidad de tiempo de comprobación a tiempo de uso, los atacantes podrían redirigir el EDR hacia un camino diferente.
Para lograr esto, los atacantes deberían crear un archivo malicioso y mantenerlo abierto sin definir los procesos con capacidades de escribirlo o borrarlo. De este modo, las herramientas EDR y AV no podrían borrarlo.
Tras activar la detección, si no se tienen los derechos para eliminar el archivo, las herramientas de seguridad pedirían al atacante aprobar un reinicio del sistema para liberar el manejador.
En esta etapa, si se ejecuta un comando de eliminación determinado, dicho archivo se elimina durante el reinicio del sistema.
Sin embargo, al eliminar el archivo de este modo, el sistema operativo empezará a eliminar todas las rutas de archivos, siguiendo los cruces ciegamente.
Con este procedimiento, los atacantes podrían eliminar los archivos de un directorio sin obtener los privilegios de modificación del mismo.
En las últimas etapas del análisis, los investigadores de seguridad de SafeBreach probaron el exploit en 11 herramientas diferentes y determinaron cuáles eran vulnerables y cuáles no.
Soluciones vulnerables:
Microsoft Defender
Defender for Endpoint
SentinelOne EDR
TrendMicro Apex One
Avast Antivirus
AVG Antivirus
Soluciones en las que no funciono el exploit:
Palo Alto
Cylance
CrowdStrike
McAfee
BitDefender
Hasta ahora, los proveedores han asignado los siguientes CVE al problema:
CVE-2022-37971 (Microsoft)
CVE-2022-45797 (Trend Micro)
CVE-2022-4173 (Avast y AVG)
Algunos proveedores ya han corregido el problema con el despliegue de sus versiones más recientes.
Dicho esto, se le insta a los usuarios a descargar las actualizaciones cuanto antes.
Finalmente, cabe mencionar que el exploit sigue siendo efectivo aun cuando la característica de protección contra ransomware de Windows está activada por defecto (Acceso Controlado a Carpetas), esto se debe a que un EDR o un AV sigue siendo la entidad de mayor confianza dentro de un sistema operativo.
Recomendaciones:
Se le recomienda a todos los administradores a instalar las actualizaciones de seguridad tan pronto como les sea posible.
Versiones corregidas:
Microsoft Malware Protection Engine - 1.1.19700.2 o posterior
TrendMicro Apex One - Hotfix 23573 & Patch_b11136 o posterior
Avast y AVG Antivirus - 22.10 o posterior
Prácticas básicas para mitigar cualquier ataque de ciberseguridad
Mantener los dispositivos actualizados
Instalar los últimos parches disponibles
Activar la autenticación multifactor
Activar las reglas de firewall
Guardar copias de seguridad
Referencias:
SÍGUENOS