Overslaan en naar de inhoud gaan

Securitysoftware door sluwe truc ingezet als wipermalware

Een security-onderzoeker is erin geslaagd om bepaalde securitypakketten om te toveren in wipermalware. De software die normaliter juist systemen moet beschermen, valt op sluwe wijze in te zetten om data te vernietigen en systemen lam te leggen. Patches zijn nu beschikbaar.
Windows Defender broken
© AG Connect
AG Connect

Het gaat om software voor endpoint detection and response (EDR), van leveranciers Microsoft, SentinelOne, TrendMicro, Avast en AVG. Onderzoeker Or Yair van securityleverancier SafeBreach heeft een eigen exploit ontwikkeld en dit getest op een totaal van 11 EDR-pakketten. Die bleken niet allemaal vatbaar om hun legitieme vermogen voor malwarevernietiging om te buigen naar kwaadaardig wiperwerk.

Security saboteert systemen

De niet kwetsbare securitytools zijn van leveranciers Palo Alto, Cylance, CrowdStrike, McAfee en BitDefender. Wél in te zetten als kwaadaardige datavernietiger zijn Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus en AVG Antivirus. Die securitysoftware valt door aanvallers in te zetten voor het wissen van gegevens en het saboteren van systemen.

Voor dat impactvolle werk hoeven die aanvallers ook niet eerste speciale rechten of hogere privileges te verkrijgen op de computers die ze te grazen willen nemen. De proof-of-concept Aikido Wiper die de ontdekker van deze kwetsbaarheid heeft ontwikkeld, valt door gewone gebruikers te activeren om zelfs mappen van beheerders te wissen. Bovendien kan een aanval langs deze weg veel minder opvallen omdat juist securitysoftware en legitieme functionaliteit daarvan wordt ingezet.

Detectie en omleiding

Onderzoeker Yair heeft een echt kwaadaardig bestand, dat dus terecht wordt gedetecteerd door EDR-pakketten, omgeleid naar bijvoorbeeld de Windows-map of zelfs de hele C-schijf. Met de tussenstap van een reboot, omdat Yair zijn kwaadaardige bestand bewust vergrendelt, valt de securitysoftware te misleiden om hele andere bestanden te wissen.

De getroffen leveranciers zijn afgelopen zomer verantwoord geïnformeerd door SafeBreach. Sindsdien is er met deze bedrijven samengewerkt om fixes te ontwikkelen. De leveranciers hebben inmiddels updates uitgebracht om deze kwetsbaarheden in hun producten te verhelpen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in