Microsoft Defender, Avast und AVG wandten sich gegen Windows, um Dateien dauerhaft zu löschen

Or Yair, ein Sicherheitsforscher bei SafeBreach, hat kürzlich einen Proof-of-Concept (POC) veröffentlicht, der zeigt, wie Anti-Malware-Lösungen dazu gebracht werden können, harmlose Dateien auf Ihrem PC zu löschen oder dauerhaft zu löschen. Der POC heißt „Aikido“ und ist von der japanischen Kampfkunst inspiriert, die verwendet wird, um die Bewegungen des Gegners gegen ihn zu wenden. Und während die Menschen weiterhin über die Nützlichkeit und Legitimität der Kampfkünste debattieren, besteht kein Zweifel daran, dass der Aikido-Wischer funktioniert. Das liegt daran, dass Microsoft den Exploit im Defender bereits anerkannt und die Schwachstelle gepatcht hat.

Andere große Anti-Malware-Anbieter wie Avast, AVG und TrendMicro wurden ebenfalls als anfällig für diesen Fehler befunden. In der Zwischenzeit blieben andere beliebte Lösungen wie McAfee und BitDefender unversehrt. Hier ist die vollständige Liste der getesteten Produkte.

Yair erklärt, dass der Aikido-Wischer auf der sogenannten Time-of-Check-to-Time-of-Use (TOCTOU)-Schwachstelle basiert. Eine Antivirenlösung erkennt und bestimmt eine Datei zunächst als bösartig und löscht sie dann. Aikido mit TOCTOU wird verwendet, um nach dem Erkennen der Malware einen alternativen Pfad einzufügen, der dann zum Löschen einer legitimen Datei anstelle der schädlichen führt. Sogar Systemdateien konnten damit gelöscht werden.

Nachfolgend sind die Schritte kurz beschrieben:

1. Erstellen Sie einen speziellen Pfad mit der schädlichen Datei unter C:\temp\Windows\System32\drivers\ndis.sys
2. Halten Sie seinen Griff und zwingen Sie den EDR oder AV, die Löschung bis nach dem nächsten Neustart zu verschieben
3. Löschen Sie das Verzeichnis C:\temp
4. Erstellen Sie eine Junction C:\temp → C:\
5. Neustart

Interessanterweise bemerkte Yair im Fall von Defender und Defender for Endpoint, dass Defender keine Dateien, sondern Ordner löschte. Microsoft hat dieser die Schwachstellen-ID „ CVE-2022-37971 “ zugewiesen und das Problem in der neusten Microsoft Malware Protection Engine Version 1.1.19700.2 gepatcht.

Inzwischen haben auch TrendMicro, Avast und AVG Patches für ihre eigenen Produkte veröffentlicht:

• TrendMicro Apex One: Hotfix 23573 & Patch_b11136
• Avast & AVG Antivirus: 22.10

Weitere Details zu Akido Wiper und dem Exploit finden Sie hier auf der offiziellen Website von SafeBreach . Der Akido Wiper POC wurde kürzlich auf der Sicherheitskonferenz Black Hat Europe 2022 vorgestellt. Daher finden Sie möglicherweise auch weitere Informationen auf dieser Seite .