Een Israëlische cybersecurityexpert demonstreert hoe je met een datawiper populaire EDR-software om de tuin kan leiden om bestanden van je apparaat te wissen.
Veel organisaties vertrouwen de sleutels van hun cyberbeveiliging toe aan EDR-software. Onder de noemer EDR (endpoint detection and response) valt beveiligingstechnologie die gespecialiseerd is in het beveiligen van fysieke apparaten ofwel ‘eindpunten’ in het netwerk. Een Israëlische onderzoeker genaamd Or Yair heeft een potentieel ernstige kwetsbaarheid in zes populaire EDR-oplossingen blootgelegd.
Voor zijn experiment ontwikkelde Yair een datawipingtool Aikido die hij losliet op elf verschillende EDR-software. Bij zes op de elf geteste oplossingen slaagde Yair erin om Aikido de eindpuntbeveiliging om de tuin te leiden en bestanden op het apparaat te wissen. Het ging meer bepaald om Microsoft Windows Defender, Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus, and SentinelOne.
lees ook
Ransomware-bende omzeilt EDR-beveiliging via lek in driver
Om de tuin leiden
Tijdens de Black Hat-conferentie in Londen demonstreerde Yair hoe hij te werk is gegaan. De truc is om ervoor te zorgen dat een EDR-tool een verdacht bestand pas na het rebooten effectief verwijdert. Dit geeft de aanvaller net voldoende tijd om na detectie van het virus een directory aan te maken die de EDR naar een ander bestand omleidt.
Zodoende zal bij het heropstarten het goedaardige bestand worden verwijderd. Yair wist op deze manier vaak meerdere bestanden tot volledige mappen met één handeling van een apparaat te verwijderen. Als de datawiper geprogrammeerd is om bestanden te overschrijven, zijn ze ook niet meer herstelbaar.
Deze methode is bovendien nog eens zeer moeilijk op te merken voor het slachtoffer omdat het op het eerste zicht lijkt dat de EDR-software doet wat het moet doen. De sterkte van EDR-beveiliging wordt zo in feite dus een zwakte.
Schade voorkomen
Uiteraard maakt Yair zijn bevindingen niet bekend om aanvallers een vrijgeleide te geven om EDR-beveiliging uit te buiten. Hij bracht de leveranciers van de software in juli en augustus al op de hoogte van de kwetsbaarheden, zodat fabrikanten al de nodige patches konden doorvoeren.
“Gelukkig hebben we dit kunnen ontdekken voor aanvallers ermee aan de slag kunnen. Deze kwetsbaarheden hadden grote schade kunnen aanrichten”, concludeert de onderzoeker.