Хакери навчилися робити з антивірусів засіб знищення даних у Windows

Експерт компанії SafeBreach Ор Яїр провів дослідження, в ході якого показав, що EDR-системи та антивіруси із засобів захисту можна перетворити на інструменти знищення будь-яких даних у Windows, аж до повного знищення системи.

Фахівець пояснив, що EDR-системи, на відміну від антивірусів, призначені для виявлення та вивчення шкідливої ​​активності на кінцевих точках: підключених до мережі робочих станціях, серверів, пристроїв інтернету речей та інших. При цьому вони не замінюють антивірусів.

Але рішення обох класів мають важливу подібність: їх можна використовувати як захисту системи, але й її знищення. Це можна зробити в момент аналізу будь-якого файлу на предмет шкідливого коду або вмісту.

ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ

EDR працюють у такий спосіб. Відбуваються дві події: спочатку файл розпізнається як шкідливий, відразу після цього відбувається видалення. Якщо якимось чином вклинитися між двома подіями, EDR-систему, як і антивірус, можна «перенацілити» на будь-які інші каталоги.

По суті це вразливість, що відноситься до класу TOCTOU (time-of-check to time-of-use: час перевірки – час використання).

Таку проблему схильні продукти Microsoft, SentinelOne, TrendMicro, Avast та AVG.