Антивирусное программное обеспечение может быть взломано для уничтожения данных
Антивирусное программное обеспечение может быть взломано для уничтожения данных. Фото: СС0
В документе Proof-of-Concept, Ор Яир, работающий в фирме по кибербезопасности SafeBreach, объяснил, как работает эксплойт с помощью так называемой уязвимости «время от проверки до времени использования» (TOCTOU).
Уязвимость может использоваться для облегчения различных кибератак, известных как «вайперы»,
В кибербезопасности вайпер — это класс вредоносных программ, предназначенных для очистки жесткого диска зараженного компьютера, злонамеренного удаления данных и программ.
Эксплойт перенаправляет ресурсы программного обеспечения для обнаружения конечных точек на «удаление любого файла независимо от привилегий».
Весь описанный процесс включал создание вредоносного файла в «C:\temp\Windows\System32\drivers\ndis.sys».
Затем следует удержать его дескриптор и заставить «AV / EDR отложить удаление до следующей перезагрузки».
Затем следует удаление «каталога C:\temp» и «создание соединения в C:\temp --> C:\», после чего следует перезагрузка машины.
Яира утверждает, что затронуты около половины популярных антивирусных решений известных разработчиков. Среди них Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus и AVG Antivirus.
Незатронутыми остались такие продукты, как Palo Alto, XDR, Cylance, CrowdStrike, McAfee и BitDefender.
Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было