ซอฟต์แวร์ป้องกันไวรัสยอดนิยมหลายตัว เช่น Microsoft, SentinelOne, TrendMicro, Avast และ AVG สามารถใช้ประโยชน์จากความสามารถในการล้างข้อมูลได้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ชั้นนำกล่าวอ้าง
ในเอกสารพิสูจน์แนวคิด (เปิดในแท็บใหม่) ที่เรียกว่า "Aikido" Or Yair ซึ่งทำงานให้กับบริษัทรักษาความปลอดภัยทางไซเบอร์ SafeBreach อธิบายว่าการหาประโยชน์ทำงานอย่างไรผ่านสิ่งที่เรียกว่าเวลาในการตรวจสอบ เวลาที่ใช้ช่องโหว่ (TOCTOU) .
โดยเฉพาะอย่างยิ่งในศิลปะการต่อสู้ ไอคิโดหมายถึงสไตล์ญี่ปุ่นที่ผู้ฝึกพยายามใช้การเคลื่อนไหวของคู่ต่อสู้และบังคับกับตัวเอง
มันทำงานอย่างไร
ช่องโหว่นี้สามารถใช้เพื่ออำนวยความสะดวกในการโจมตีทางไซเบอร์ที่หลากหลายซึ่งเรียกว่า "Wipers" ตามข้อมูลของ Yair ซึ่งมักใช้ในสถานการณ์สงครามที่น่ารังเกียจ
ในระบบความปลอดภัยทางไซเบอร์ ตัวทำความสะอาดคือมัลแวร์ประเภทหนึ่งที่มีจุดประสงค์เพื่อล้างฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่ติดเชื้อ โดยการลบข้อมูลและโปรแกรมอย่างประสงค์ร้าย
ตามสไลด์โชว์ การใช้ประโยชน์จะเปลี่ยนเส้นทาง "พลังพิเศษ" ของซอฟต์แวร์ตรวจจับปลายทางเพื่อ "ลบไฟล์ใด ๆ โดยไม่คำนึงถึงสิทธิ์"
กระบวนการทั้งหมดที่อธิบายไว้เกี่ยวข้องกับการสร้างไฟล์ที่เป็นอันตรายใน “C:tempWindowsSystem32driversndis.sys”
ตามด้วยการถือที่จับแล้วบังคับให้ "AV/EDR เลื่อนการลบออกไปจนกว่าจะรีบูตครั้งถัดไป"
ตามด้วยการลบ "ไดเร็กทอรี C:temp" และ "การสร้างการรวมบน C:temp --> C:" ตามด้วยการรีบูตเครื่อง
มีแอนตี้ไวรัสยอดนิยมเพียงไม่กี่แบรนด์เท่านั้นที่ได้รับผลกระทบ ประมาณ 50% จากข้อมูลของ Yair
จากภาพสไลด์ที่จัดทำโดยนักวิจัย Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus และ AVG Antivirus ได้รับผลกระทบจากช่องโหว่ดังกล่าว
โชคดีสำหรับบางผลิตภัณฑ์ เช่น Palo Alto, XDR, Cylance, CrowdStrike, McAfee และ BitDefender ไม่ได้รับบาดเจ็บ
- สนใจที่จะอัปเดตเครื่องมือความปลอดภัยทางไซเบอร์ของคุณหรือไม่ ตรวจสอบคำแนะนำของเราเกี่ยวกับเครื่องมือกำจัดมัลแวร์ที่ดีที่สุด