Selon un chercheur en cybersécurité, de nombreux logiciels antivirus populaires tels que Microsoft, SentinelOne, TrendMicro, Avast et AVG peuvent être exploités pour leurs capacités de suppression de données.
Dans un document de démonstration de faisabilité baptisé "Aikido", Or Yair, qui travaille pour la société de cybersécurité SafeBreach, explique comment l'exploitation fonctionne via ce que l'on appelle une vulnérabilité TOCTOU (time-of-check to time-of-use).
Dans le domaine des arts martiaux, l'aïkido fait référence à un style japonais dans lequel le pratiquant cherche à utiliser le mouvement et la force de son adversaire contre lui-même.
Comment cela fonctionne ?
Selon Yair, cette vulnérabilité peut être utilisée pour faciliter une série de cyber-attaques connues sous le nom de "Wipers", qui sont couramment utilisées dans des contextes de guerre offensive.
En cybersécurité, un wiper est une classe de logiciels malveillants visant à effacer le disque dur de l'ordinateur qu'il infecte, en supprimant de façon malveillante les données et les programmes.
Selon le diaporama, l'exploit redirige la "superpuissance" du logiciel de détection des terminaux pour "supprimer n'importe quel fichier, quels que soient les privilèges".
Le processus complet décrit implique la création d'un fichier malveillant dans "C:\temp\Windows\System32\drivers\ndis.sys".
Il faut ensuite conserver son identifiant et forcer "l'AV/EDR à reporter la suppression jusqu'au prochain redémarrage".
Ensuite, vous supprimez le "répertoire C:\temp" et "créez une jonction dans C:\temp --> C:\", puis vous redémarrez la machine.
Seules certaines des marques d'antivirus les plus populaires ont été touchées, environ 50% selon Yair.
Selon un diaporama préparé par le chercheur, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus sont quelques-uns des produits touchés par la vulnérabilité.
Heureusement pour certains, des produits tels que Palo Alto, XDR, Cylance, CrowdStrike, McAfee, et BitDefender ont été épargnés.