Microsoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。

SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research

https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/

For Cyberattackers, Popular EDR Tools Can Turn into Destructive Data Wipers

https://www.darkreading.com/vulnerabilities-threats/cyberattackers-popular-edr-tools-destructive-data-wipers

アメリカのサイバーセキュリティ企業・SafeBreachは2022年12月7日に、ターゲットとなるシステム上にインストールされているセキュリティソフトを悪用してステルス化された攻撃を行い、特権なしで被害者の端末のデータを削除することができるとの概念実証(PoC)を報告しました。



SafeBreachのセキュリティ研究者であるOr Yair氏によると、多くのアンチウイルスソフトのリアルタイム保護機能は「自動スキャンによる悪意あるファイルの検出」と「悪意あるファイルの削除」という2つの段階に分けることができるとのこと。

そして、この2つの段階の隙間に干渉して誤作動を引き起こす「Time of check to time of use(TOCTOU)」という不具合を利用し、悪意あるファイルの検出後に当該ファイルのパスの代わりに正当なファイルのパスを指定すると、本来ならアクセスに特権が必要なシステムファイルさえ削除できてしまいました。

セキュリティソフトの力を逆手にとってデータを一掃してしまうことから、セキュリティカンファレンス・Black Hat Europe 2022で発表されたこのPoCは、「Aikido Wiper(合気道ワイパー)」と名付けられています。

Yair氏が主要なセキュリティソフトで「Aikido Wiper」を試してみたところ、11製品のうち6製品と、半分以上で有効なことが分かりました。具体的な製品名は以下の通り。Windows標準のセキュリティ製品であるMicrosoft Windows DefenderとWindows Defender for Endpointのほか、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus、SentinelOneで「Aikido Wiper」が使用可能でした。



「Aikido Wiper」は、システム上で最も信頼されているセキュリティソフトの機能を悪用するため、検出したりファイルの削除を阻止したりすることは不可能です。また、ドライバーを含む重要なシステムファイルを削除することが可能なため、OSが起動できなくなるおそれもあります。

Yair氏は発表に先立ち2022年7月と8月に、問題が特定されたセキュリティ製品のベンダーにこの脆弱性を通報しました。その結果、通報を受けた企業のうちMicrosoft、トレンドマイクロ、Avast(AVG)の3社が修正パッチを作成してリリースしました。ただし、SentinelOneの対応がまだ確認されていないほか、テストが行われていない他の企業のセキュリティ製品の中にもこのエクスプロイトが潜んでいる可能性があります。

そのためYair氏は、「現在EDRおよびアンチウイルス製品を使用している組織には、この脆弱性についてベンダーに相談した上で、ベンダーが提供したソフトウェア更新プログラムまたはパッチを速やかにインストールすることを強くお勧めします」と述べました。