Антивирусы Microsoft и Avast можно использовать как вайпер

Антивирусы Microsoft и Avast можно использовать как вайпер — с помощью 0day

Татьяна Никитина 07 Декабря 2022 - 19:47

Домашние пользователи

...

Выступая на конференции Black Hat, проходящей в Великобритании, эксперт SafeBreach Ор Яир (Or Yair) рассказал об интересной уязвимости, характерной для некоторых EDR-решений. С ее помощью злоумышленник может заставить наделенного root-правами защитника стереть все данные в системе — даже файлы, необходимые для ее функционирования.

Найденная уязвимость нулевого дня определена как TOCTOU (Time of Check Time of Use) — разновидность состояния гонки. Ей подвержены продукты класса EDR, завершающие удаление выловленных зловредов после перезагрузки системы.

Путь к вредоносному файлу в этом случае сохраняется в определенном месте (зависит от вендора) и иногда даже не проверяется при удалении. Это хороший шанс для злоумышленника, который может, используя паузу, изменить путь к объекту и заставить EDR или антивирус стереть совсем другой файл.

В комментарии для Dark Reading Яир уточнил, что с этой целью автору атаки придется использовать точки соединения NTFS, которые работают так же, как симлинки, но только для папок на разных дисках.

Сами исследователи вначале создали зловреда с разрешениями рядового пользователя. Чтобы заставить испытуемую EDR отложить удаление до перезагрузки, файл держали открытым. В системе была также создана папка C:\TEMP\ (точка соединения NTFS) с привязкой к другой директории.

В итоге при попытке окончательно вычистить вредоноса EDR пошла по неверному пути и удалила совершенно безвредный файл. Как оказалось, подобный трюк можно использовать для удаления множества файлов в разных местах, создав короткий путь к папке и вставив в него пути к целевым ресурсам.

В SafeBreach протестировали 11 антивирусных продуктов разного производства. Шесть из них оказались уязвимыми к таким абьюзам — Microsoft Defender, Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus и SentinelOne. Некоторые из них нельзя использовать для стирания файлов по выбору, зато они могут удалить сразу всю папку.

Три вендора успели выпустить патчи до обнародования 0-day на Black Hat Europe 2022 — Microsoft, TrendMicro и Gen Digital (Norton LifeLock до слияния с Avast). Яир не исключает, что выявленная проблема актуальна и для других EDR-систем; парк потенциально уязвимых конечных устройств он оценил в сотни миллионов компьютеров.

Участники конференции также ознакомились с PoC-кодом Aikido, умеющим скрытно манипулировать EDR. Чтобы опытный образец соответствовал званию вайпера, его научили перезаписывать файлы перед удалением — в этом случае содержимое невозможно восстановить.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 30 Апреля 2026 - 09:40

Домашние пользователи Родительский контроль

Родительский контроль без доверия не работает, дети научатся его обходить

Слежка за детьми и запреты без объяснения причин могут превратить их в «цифровых партизан», которые быстро научатся обходить родительские ограничения. При этом базовые средства родительского контроля способны решать многие насущные задачи: они бесплатны, достаточно гибки и позволяют не только ограничивать доступ, но и формировать у ребёнка здоровые цифровые привычки.

Такое мнение в комментарии ТАСС высказал директор Института открытого дистанционного образования Новосибирского государственного педагогического университета Николай Пель.

По его словам, базовые инструменты родительского контроля позволяют закрыть сразу несколько задач:

«Эти сервисы позволяют ограничивать время в приложениях, одобрять установку игр, блокировать отдельные откровенно опасные сайты на уровне браузера либо контролировать время и характер занятий ребёнка в сети уже по факту. То есть формировать хорошие привычки, правильный паттерн цифровой жизни ребёнка».

По оценке эксперта, такие средства могут помочь, например, вернуть системный аккаунт в случае его кражи. Однако рассматривать родительский контроль как панацею не стоит. Важно выстроить доверительные отношения с ребёнком, чтобы он не воспринимал ограничения как «цифровой поводок», от которого нужно избавиться. Тем более что слишком жёсткие запреты могут мешать учебным задачам, где требуется искать информацию в интернете.

Ключевой проблемой, предупреждает Николай Пель, может стать страх наказания. Если ребёнок случайно перейдёт по фишинговой ссылке или сообщит код из СМС, он может попытаться скрыть случившееся, опасаясь, что у него навсегда отберут телефон. В такой ситуации технические и организационные меры контроля могут просто не сработать.

«Самое важное знание для ребёнка — алгоритм действий, когда что-то пошло не так. "Если ты кликнул и испугался — замри. Закрой глаза или экран. Позови меня! Позвони мне тут же, сейчас же, что бы там ни писали и ни говорили! Мы не будем кричать, я просто помогу тебе закрыть проблему без последствий или с минимальными последствиями". Ребёнок должен знать: если он случайно сообщил код из СМС мошеннику, счёт идёт на минуты. Нельзя пытаться решить проблему самому, нужно немедленно звонить родителям и в банк. Обесценивание проблемы гарантирует, что в следующий раз вы узнаете о проблеме, когда деньги уже будут списаны», — предупреждает Николай Пель.

При этом дети не должны иметь доступа к устройствам родителей и их аккаунтам. На это также часто рассчитывают злоумышленники при атаках на несовершеннолетних.

Кроме того, мошенники используют ситуацию, когда родители оформляют сим-карты для детей на себя. Злоумышленники выманивают у несовершеннолетних коды подтверждения и затем оформляют покупки с рассрочкой на маркетплейсах. По такой схеме действовала группа, задержанная в феврале: на её счету 16 эпизодов подобных краж в разных регионах России.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!