Microsoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。<中略>
SafeBreachのセキュリティ研究者であるOr Yair氏によると、多くのアンチウイルスソフトのリアルタイム保護機能は「自動スキャンによる悪意あるファイルの検出」と「悪意あるファイルの削除」という2つの段階に分けることができるとのこと。
そして、この2つの段階の隙間に干渉して誤作動を引き起こす「Time of check to time of use(TOCTOU)」という不具合を利用し、悪意あるファイルの検出後に当該ファイルのパスの代わりに正当なファイルのパスを指定すると、本来ならアクセスに特権が必要なシステムファイルさえ削除できてしまいました。
セキュリティソフトの力を逆手にとってデータを一掃してしまうことから、セキュリティカンファレンス・Black Hat Europe 2022で発表されたこのPoCは、「Aikido Wiper(合気道ワイパー)」と名付けられています。
Yair氏が主要なセキュリティソフトで「Aikido Wiper」を試してみたところ、11製品のうち6製品と、半分以上で有効なことが分かりました。具体的な製品名は以下の通り。Windows標準のセキュリティ製品であるMicrosoft Windows DefenderとWindows Defender for Endpointのほか、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus、SentinelOneで「Aikido Wiper」が使用可能でした。
「Aikido Wiper」は、システム上で最も信頼されているセキュリティソフトの機能を悪用するため、検出したりファイルの削除を阻止したりすることは不可能です。また、ドライバーを含む重要なシステムファイルを削除することが可能なため、OSが起動できなくなるおそれもあります。
全文はこちら
https://gigazine.net/news/20221212-antivirus-edr-data-wipers/
