SafeBreach Labsのセキュリティ研究者Or Yair氏は、アンチウイルス(AV)ツールやエンドポイント保護(EDR)ツールが持つ高い権限を悪用し、特権のないユーザーでも任意のファイルを削除できる複数の脆弱性について詳細を発表した。この脆弱性はAVやEDRの高い権限を逆手に利用しているため“合気道ワイパー”と名付けられた。7月から8月にかけて影響を受ける一部ベンダーに報告され、現在は既に修正されている。
ファイルのワイプには管理者特権が必要となるほか、そもそもワイプをするソフト(ワイパー)自体もプロセスとして認識されてしまうため、悪用することが難しい。そのためYair氏は、当初より高い権限を持ってワイプができるEDR(やAV)のツールの力を逆手にとって悪用する方法を考案した。
EDR(やAV)には、悪意のあるファイルを認識するタイミングと、それを削除するタイミングがあり、この間に何らか細工をする機会がある。これをTime-of-check to time-of-use(TOCTOU)の脆弱性だと呼ぶ。合気道ワイパーは、まさにこのTOCTOUの脆弱性を突くものだ。
【悲報】Windowsに新ウイルス「合気道ワイパー」が出現。アンチウイルスやEDRを逆手に取りPC破壊
■ このスレッドは過去ログ倉庫に格納されています
1それでも動く名無し
2022/12/13(火) 20:28:46.69ID:NYUqkMNA02022/12/13(火) 20:30:15.39ID:XAGNvNrG0
すでにある仕組みだと思うけど
認知されたのが最近だったという話かな
認知されたのが最近だったという話かな
■ このスレッドは過去ログ倉庫に格納されています