0001それでも動く名無し
2022/12/15(木) 11:58:46.59ID:ZQ6L0caL0Microsoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。
アメリカのサイバーセキュリティ企業・SafeBreachは2022年12月7日に、ターゲットとなるシステム上にインストールされているセキュリティソフトを悪用してステルス化された攻撃を行い、特権なしで被害者の端末のデータを削除することができるとの概念実証(PoC)を報告しました。
SafeBreachのセキュリティ研究者であるOr Yair氏によると、多くのアンチウイルスソフトのリアルタイム保護機能は「自動スキャンによる悪意あるファイルの検出」と「悪意あるファイルの削除」という2つの段階に分けることができるとのこと。
そして、この2つの段階の隙間に干渉して誤作動を引き起こす「Time of check to time of use(TOCTOU)」という不具合を利用し、悪意あるファイルの検出後に当該ファイルのパスの代わりに正当なファイルのパスを指定すると、本来ならアクセスに特権が必要なシステムファイルさえ削除できてしまいました。
セキュリティソフトの力を逆手にとってデータを一掃してしまうことから、セキュリティカンファレンス・Black Hat Europe 2022で発表されたこのPoCは、「Aikido Wiper(合気道ワイパー)」と名付けられています。
https://gigazine.net/news/20221212-antivirus-edr-data-wipers/