×
Outbyte PC Repair
Outbyte Driver Updater

Microsoft Defender, Avast, AVG se voltaram contra o Windows para excluir arquivos permanentemente

2022/12/12
Microsoft Defender, Avast, AVG se voltaram contra o Windows para excluir arquivos permanentemente
Bug no Windows Defender

Ou Yair, um pesquisador de segurança da SafeBreach, publicou recentemente uma prova de conceito (POC) mostrando como as soluções antimalware podem ser enganadas para limpar ou excluir permanentemente arquivos inofensivos em seu PC. O POC é chamado de “Aikido” e é inspirado na arte marcial japonesa que é usada para virar os movimentos dos oponentes contra eles. E enquanto as pessoas continuam a debater a utilidade e legitimidade das artes marciais, não há dúvida de que o limpador de Aikido funciona. Isso ocorre porque a Microsoft já reconheceu a exploração no Defender e corrigiu a vulnerabilidade.

Outros grandes fornecedores de antimalware, como Avast, AVG e TrendMicro, também foram considerados vulneráveis ​​a essa falha. Enquanto isso, outras soluções populares como McAfee e BitDefender saíram ilesas. Aqui está a lista completa dos produtos testados.

Aikido

Yair explica que o limpador de Aikido é baseado no que é chamado de vulnerabilidade de tempo de verificação para tempo de uso (TOCTOU). Uma solução antivírus primeiro detecta e determina um arquivo como malicioso e, em seguida, o exclui. Aikido usando TOCTOU é usado para inserir um caminho alternativo após a detecção do malware para então levar à exclusão de um arquivo legítimo em vez daquele malicioso. Mesmo os arquivos do sistema podem ser excluídos usando isso.

As etapas foram descritas resumidamente abaixo:

  1. Crie um caminho especial com o arquivo malicioso em C:\temp\Windows\System32\drivers\ndis.sys
  2. Segure a alça e force o EDR ou AV a adiar a exclusão até a próxima reinicialização
  3. Exclua o diretório C:\temp
  4. Crie uma junção C:\tempC:\
  5. Reinício

Curiosamente, no caso do Defender e do Defender for Endpoint, Yair notou que o Defender não apagava arquivos, mas sim pastas. A Microsoft atribuiu o ID de vulnerabilidade “ CVE-2022-37971 ” a isso e corrigiu o problema na versão mais recente do Microsoft Malware Protection Engine 1.1.19700.2.

Enquanto isso, TrendMicro, Avast e AVG também lançaram patches para seus próprios produtos:

  • TrendMicro Apex One: Hotfix 23573 e Patch_b11136
  • Avast e AVG Antivírus: 22.10

Você pode encontrar mais detalhes sobre o Akido Wiper e o exploit no site oficial do SafeBreach aqui . O Akido Wiper POC foi apresentado na recente conferência de segurança Black Hat Europe 2022. Portanto, você também pode encontrar mais informações nesta página .

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *