ซอฟต์แวร์ป้องกันไวรัสยอดนิยมหลายตัว เช่น Microsoft, SentinelOne, TrendMicro, Avast และ AVG สามารถใช้ประโยชน์จากความสามารถในการล้างข้อมูลได้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ชั้นนำกล่าวอ้าง
ในเอกสารพิสูจน์แนวคิด (เปิดในแท็บใหม่) ที่เรียกว่า "Aikido" หรือ Yair ซึ่งทำงานให้กับ SafeBreach บริษัทรักษาความปลอดภัยทางไซเบอร์ได้อธิบายวิธีการหาประโยชน์ผ่านสิ่งที่เรียกว่าการหมดเวลาการตรวจสอบระยะเวลาของการใช้ช่องโหว่ (TOCTOU ).
โดยเฉพาะอย่างยิ่งในศิลปะการต่อสู้ ไอคิโดหมายถึงสไตล์ญี่ปุ่นที่ผู้ฝึกพยายามใช้การเคลื่อนไหวของคู่ต่อสู้และบังคับกับตัวเอง
มันทำงานอย่างไร
ช่องโหว่นี้สามารถใช้เพื่ออำนวยความสะดวกในการโจมตีทางไซเบอร์หลายรูปแบบที่เรียกว่า "Wipers" ตาม Yair ซึ่งมักใช้ในสถานการณ์สงครามที่น่ารังเกียจ
ในระบบความปลอดภัยทางไซเบอร์ ตัวทำความสะอาดคือมัลแวร์ประเภทหนึ่งที่มีจุดประสงค์เพื่อล้างฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่ติดเชื้อ โดยการลบข้อมูลและโปรแกรมอย่างประสงค์ร้าย
ตามภาพสไลด์ การแสวงประโยชน์เปลี่ยนเส้นทางซอฟต์แวร์ตรวจจับปลายทาง "มหาอำนาจ" เพื่อ "ลบไฟล์ใดๆ โดยไม่คำนึงถึงสิทธิ์"
กระบวนการทั้งหมดที่อธิบายเกี่ยวข้องกับการสร้างไฟล์ที่เป็นอันตรายที่ “C:tempWindowsSystem32driversndis.sys”
ตามมาด้วยการจับที่จับและบังคับให้ "AV/EDR เลื่อนการลบออกจนกว่าจะรีบูตครั้งถัดไป"
ตามด้วยการลบ "ไดเร็กทอรี C:temp" และ "สร้างทางแยกที่ C:temp -> C:" ตามด้วยการรีบูตเครื่อง
มีแอนตี้ไวรัสยอดนิยมเพียงไม่กี่แบรนด์เท่านั้นที่ได้รับผลกระทบ ประมาณ 50% จากข้อมูลของ Yair
จากภาพสไลด์ที่จัดทำโดยนักวิจัย Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus และ AVG Antivirus ได้รับผลกระทบจากช่องโหว่ดังกล่าว
โชคดีสำหรับบางผลิตภัณฑ์ เช่น Palo Alto, XDR, Cylance, CrowdStrike, McAfee และ BitDefender ไม่ได้รับบาดเจ็บ
- สนใจที่จะอัปเดตเครื่องมือความปลอดภัยทางไซเบอร์ของคุณหรือไม่ ตรวจสอบคำแนะนำของเราเกี่ยวกับเครื่องมือกำจัดมัลแวร์ที่ดีที่สุด
