Muchas piezas populares de software antivirus como Microsoft, SentinelOne, TrendMicro, Avast y AVG pueden explotarse por sus capacidades de eliminación de datos, afirmó un importante investigador de ciberseguridad.
En un documento de prueba de concepto (se abre en una pestaña nueva) Apodado «Aikido», Or Yair, que trabaja para la firma de seguridad cibernética SafeBreach, explicó cómo funciona el exploit a través de lo que se conoce como una vulnerabilidad de tiempo de verificación a tiempo de uso (TOCTOU).
En particular, en las artes marciales, Aikido se refiere a un estilo japonés en el que el practicante busca usar el movimiento y la fuerza del oponente contra sí mismo.
¿Como funciona?
La vulnerabilidad se puede usar para facilitar una variedad de ataques cibernéticos conocidos como «Wipers» según Yair, que se usan comúnmente en situaciones de guerra ofensiva.
En ciberseguridad, un limpiador es una clase de malware destinado a borrar el disco duro de la computadora que infecta, eliminando datos y programas de forma maliciosa.
Según la plataforma de diapositivas, el exploit redirige el «superpoder» del software de detección de puntos finales para «eliminar cualquier archivo sin importar los privilegios».
El proceso completo descrito involucró la creación de un archivo malicioso en «C:tempWindowsSystem32driversndis.sys».
A esto le sigue sujetando su manija y forzando al «AV/EDR a posponer la eliminación hasta después del próximo reinicio».
A esto le sigue la eliminación del «directorio C:temp» y la «creación de una unión en C:temp –> C:», seguido de un reinicio de la máquina.
Solo algunas de las marcas de antivirus más populares se vieron afectadas, alrededor del 50% según Yair.
Según una presentación de diapositivas preparada por el investigador, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus y AVG Antivirus fueron algunos de los afectados por la vulnerabilidad.
Afortunadamente para algunos, productos como Palo Alto, XDR, Cylance, CrowdStrike, McAfee y BitDefender salieron ilesos.
- ¿Interesado en actualizar sus herramientas de ciberseguridad? Consulte nuestra guía de las mejores herramientas de eliminación de malware