【BlackHat】利用多个0day将安全产品转变为擦除器

Yair在欧洲黑帽大会上展示了这一研究成果，他表示可诱骗易受攻击的安全产品删除系统上的任意文件和目录并导致机器不可用。研究员将该擦除器称为 “Aikido”，它滥用EDR和AV产品在系统上的扩展权限，依赖包含特殊构造路径的诱饵目录，触发合法文件删除。

Yair提到，“该擦除器以低权限用户权限运行，几乎能够擦除系统上的任何文件，包括系统文件等，并且使计算机完全不可重启。无需执行触及目标文件的代码即可实现这一点，从而导致无法被检测到。” Aikido 擦除器利用恶意文件删除检测和实际删除之间的机会窗口，并滥用Windows 中可导致用户创建结合点链接的特性（类似于符号链接），而无需考虑账户权限。

Yair 解释称，低权限用户没有所需权限因此无法删除系统文件，但他通过创建诱骗目录并将其放到构造路径中的方法，成功导致安全产品执行删除操作。他创建了一个恶意文件并将其放在诱骗目录中，但并未指定句柄。在不了解哪些程序具有修改文件权限的情况下，安全产品提示系统重启缓解威胁。之后他删除了该诱骗目录。

Yair 提到，某些安全工具依靠Windows API将删除操作延迟到重启之后，而其它一些工具会维护用于删除的路径列表，等待重启以便删除。虽然默认用于延迟删除的Windows API 通过标记来要求具有管理员权限，但一旦系统重启，“Windows就会开始删除所有路径并盲目遵循交接。一些其它的自实现也会这样做。因此，我能够创建一个完整流程，以低权限用户身份随心所欲地删除任意文件。”

Yair 指出，该exploit 还绕过Windows中的受控文件夹访问权限，该特性旨在阻止篡改受保护文件夹列表上文件夹内的文件，因为这些安全产品具有删除这些文件的权限。

在所测试的11款安全产品中，6款产品易受该exploit影响。Yair将漏洞告知厂商并获得三个CVE编号：CVE-2022-37971（微软Defender 和Defender for Endpoint）、CVE-2022-45797（趋势科技Apex One）和CVE-2022-4173（Avast 和 AVG Antivirus for Windows）。

该擦除器中包含多个漏洞的exploit，影响 SentinelOne 公司的EDR以及微软Defender和Defender for Endpoint。对于Windows 产品而言，金科删除任意目录。该PoC擦除器创建了可被安全解决方案删除的EICAR文件（而非真正的恶意文件），可删除系统文件如驱动等，而且在系统重启时，“多次以随机字节填满磁盘”，保证数据被覆写并擦除。

Yair表示，“我们认为，所有EDR和AV厂商都应当主动测试产品是否易受这种漏洞影响，而且在不要情况下，应当开发缓解措施，确保产品受保护。我们强烈建议EDR和AV产品的组织机构用户向厂商咨询这些漏洞的情况，并立即安装软件更新或补丁。”

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~