Microsoft Defender、Avast、AVG が Windows に対抗してファイルを完全に削除する

または、SafeBreach のセキュリティ研究者である Yair は最近、マルウェア対策ソリューションをだまして PC 上の無害なファイルを消去または完全に削除する方法を示す概念実証 (POC) を公開しました。POC は「合気道」と呼ばれ、相手の動きを逆にするために使用される日本の武道に触発されています。そして、人々が武道の有用性と正当性について議論を続けている間、合気道のワイパーが機能することは疑いの余地がありません. これは、Microsoft が Defender のエクスプロイトをすでに認識しており、脆弱性にパッチを適用しているためです。

Avast、AVG、TrendMicro などの他の主要なマルウェア対策ベンダーも、この脆弱性に対して脆弱であることが判明しました。一方、McAfee や BitDefender などの他の人気のあるソリューションは無傷でした。テスト済みの製品の完全なリストは次のとおりです。

Yair 氏は、合気道のワイパーは、いわゆるチェック時から使用時 (TOCTOU) の脆弱性に基づいていると説明しています。ウイルス対策ソリューションは、まずファイルを検出して悪意のあるファイルと判断し、削除します。TOCTOU を使用した Aikido は、マルウェアの検出後に代替パスを挿入し、悪意のあるファイルの代わりに正当なファイルを削除するために使用されます。これを使用すると、システムファイルでさえ削除できます。

手順を以下に簡単に説明します。

1. C:\temp\Windows\System32\drivers\ndis.sysに悪意のあるファイルを含む特別なパスを作成します。
2. ハンドルを保持し、次の再起動後まで EDR または AV に削除を延期させます。
3. C:\tempディレクトリを削除します
4. ジャンクションC:\temp → C:\を作成します
5. リブート

興味深いことに、Defender と Defender for Endpoint の場合、Yair は、Defender がファイルではなくフォルダーを削除していることに気付きました。Microsoft はこれに脆弱性 ID「CVE-2022-37971」を割り当て、最新の Microsoft Malware Protection Engine バージョン 1.1.19700.2 で問題にパッチを適用しました。

一方、TrendMicro、Avast、AVG も自社製品のパッチをリリースしています。

• TrendMicro Apex One: Hotfix 23573 & Patch_b11136
• アバスト & AVG アンチウイルス: 22.10

Akido Wiper とエクスプロイトの詳細については、SafeBreach の公式 Web サイト (こちら)を参照してください。Akido Wiper POC は、最近の Black Hat Europe 2022 セキュリティ カンファレンスで発表されました。したがって、このページで詳細情報を見つけることもできます。