今月、ロンドンで開催されたサイバーセキュリティのイベント、Black Hat Europe2022でEDR(Endpoint Detection and Response)やAV(Anti Virus)製品のデータ削除機能の脆弱性を悪用してデータを破壊するワイパー攻撃の手法が報告されたということです。この脆弱性はすでにベンダーに報告されており修正版がリリースされているということです。
識別イベントと削除イベントの間隙を悪用
報告をしたのはサイバーセキュリティ企業、SafeBreachの研究者Or Yair氏です。EDR製品やAV製品は悪意のあるプログラムがないかコンピューターのファイルを常にチェックし、不審なプログラムが検出されればそれを隔離して悪意のあるプログラムかどうか精査し、悪意のあるプログラムとして識別されれば削除します。
Or Yair氏は、EDR製品が悪意のあるプログラムかどうかを識別するイベントと悪意のあるプログラムと判断して削除するイベントの間のジャンクションを悪用することで削除すべきではないデータを削除して破壊することが可能なのではないかと考えたようです。ちなみにこの攻撃手法は、ある条件をチェックした後、その結果を行使するまでの間に変更が発生することで引き起こされるバグ(脆弱性)、TOCTOU(Time of check time of use)を悪用した攻撃と言えるようです。
Bleeping Computerの記事によると、①C:\temp\Windows\System32\drivers\ndis.sysに悪意のあるファイルを含む特別なパスを作成する②ハンドルを保持し、次の再起動までEDRまたはAVに削除を延期させる③C:\tempディレクトリを削除する④ジャンクションC:\temp→C:\を作成する⑤プロンプトが表示されたら再起動する。再起動するとWindowsがすべてのパスを削除し始め、変更権限を持たないディレクトリ内のファイルを削除することができたということです。また、このエクスプロイトはControlled Folder Accessと呼ばれるWindowsのランサムウェアに対する保護機能に対しても悪用できる恐れがあるようです。
AkidoWiperを11のセキュリティソフトでテストしたら‥‥
Or Yair氏は、このエクスプロイトを自身が「AkidoWiper」と名付けたワイパーツールに実装して試してみたところ、AkidoWiperは完全に検出されず、特権のないユーザーが起動して管理者ユーザーのディレクトリのデータを消去することができ、システムを起動できなくすることさえできたということです。Or Yair氏は11のセキュリティツールに対してこのエクスプロイトをテストしたところ、Microsoft Defender、Defender for Endpoint、SentinelOne EDR、TrendMicro Apex One、Avast Antivirus、AGV Antivirusに脆弱性が認められたということです。一方、Palo Alto XDR、Cylance、CrowdStrike、McAfee、BitDefenderでは悪用することができなかったということです。
Or Yair氏は、脆弱性が認められた製品のベンダーに問題を報告し、この問題に対して修正がリリースされているということです。また、これら脆弱性に対してCVE-2022-37971、CVE-2022-45797、CVE-2022-4173の脆弱性IDが割り当てられています。修正されたバージョンはMicrosoft Malware Protection Engineの1.1.19700.2以降、TrendMicro Apex One Hotfix23573&Patch_b11136以降、アバスト&AVGアンチウィルスの22.10以降。これら製品のユーザーは、AkidoWiperを模倣したマルウェアによりファイルがワイプされる恐れがあることから早急なセキュリティアップデートが必要です。
■出典