Muchos software antivirus populares, como Microsoft, SentinelOne, TrendMicro, Avast y AVG, pueden explotarse por sus capacidades de eliminación de datos, afirmó un destacado investigador de ciberseguridad.
En un documento de prueba de concepto (se abre en una nueva pestaña) denominado «Aikido», Or Yair, que trabaja para la firma de seguridad cibernética SafeBreach, explicó cómo funciona el exploit a través de lo que se denomina un tiempo de verificación del tiempo de uso de la vulnerabilidad (TOCTOU).
En particular, en las artes marciales, aikido se refiere a un estilo japonés donde el practicante busca usar el movimiento y la fuerza del oponente contra sí mismo.
มันทำงานอย่างไร
La vulnerabilidad se puede usar para facilitar una variedad de ataques cibernéticos conocidos como «Wipers» según Yair, que se usan comúnmente en situaciones de guerra ofensiva.
En ciberseguridad, un limpiador es una clase de malware destinado a limpiar el disco duro de la computadora que infecta, mediante la eliminación maliciosa de datos y programas.
Según la presentación de diapositivas, el exploit redirige el «superpoder» del software de detección de puntos finales para «eliminar cualquier archivo, independientemente de los privilegios».
El proceso completo descrito involucró la creación de un archivo malicioso en «C:tempWindowsSystem32driversndis.sys».
A esto le sigue sosteniendo su mango y obligando a «el AV/EDR a posponer la eliminación hasta el próximo reinicio».
A esto le sigue la eliminación del «directorio C:temp» y la «creación de una unión en C:temp –> C:», seguido de un reinicio de la máquina.
Solo algunas de las marcas de antivirus más populares se vieron afectadas, alrededor del 50% según Yair.
Según una presentación de diapositivas preparada por el investigador, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus y AVG Antivirus se encuentran entre los afectados por la vulnerabilidad.
Afortunadamente para algunos, productos como Palo Alto, XDR, Cylance, CrowdStrike, McAfee y BitDefender quedaron ilesos.
- ¿Interesado en actualizar sus herramientas de ciberseguridad? Consulte nuestra guía de las mejores herramientas de eliminación de malware
