Un ingenioso truco convierte a los antivirus en plagas imparables de borrado de datos

Rubén Castro, 15 diciembre 2022

Han comenzado los Días sin IVA de Zococity con ofertas en todas las categorías!!!

Ver ofertas

Los programas informáticos que protegen contra virus y otras formas de malware se consideran fiables. Un investigador de seguridad aprovechó esta situación para crear una herramienta de borrado de datos capaz de eliminar todos los datos del sistema.


Un investigador de seguridad de SafeBreach llamado Or Yair descubrió una serie de vulnerabilidades de día cero que, si se explotan, pueden convertir las aplicaciones de detección y respuesta de puntos finales (EDR) y antivirus en “wipers de nueva generación”.

El malware conocido como wipers es un software malicioso que puede borrar o corromper archivos en un sistema comprometido, haciendo imposible que dichos archivos puedan recuperarse. Para llevar a cabo sus actos maliciosos, los wipers necesitan acceder a todo el sistema de archivos. Es el mismo acceso que necesitan los antivirus y los sistemas de detección y eliminación de endpoints para responder rápidamente a una amenaza recién descubierta.

Yair observó que “hay dos acontecimientos cruciales cuando un EDR elimina un archivo malicioso”: en primer lugar, el software de protección reconoce un archivo como dañino y, a continuación, lo elimina. Yair observó que “hay dos ocurrencias cruciales cuando un EDR borra un archivo malicioso”. El objetivo de Yair era desviar el software EDR haciendo uso de un punto de unión, que es un tipo de enlace simbólico utilizado por el sistema de archivos NTFS.

El investigador buscaba fallos en TOCTOU utilizando software del tipo Mimikatz que se camuflaba como el controlador de red de Windows ndis.sys. El esfuerzo inicial por redirigir C:Windowssystem32driversndis.sys al falso no tuvo éxito, ya que algunas herramientas EDR prohibieron Mimikatz tras identificarlo como una amenaza potencial.

Yair mantuvo abierto el archivo malicioso para obligar al software antivirus a reiniciarse y poder eliminar el archivo. Es posible que el nuevo Aikido Wiper elimine carpetas enteras o la raíz de la unidad del sistema (C:) sin necesidad de credenciales de administrador si modifica el Registro y luego reinicia el ordenador.

La eficacia del Aikido Wiper de Yair se midió en un 50% en comparación con 11 soluciones de seguridad diferentes. Fue posible explotar vulnerabilidades en Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus y AVG Antivirus. Algunas empresas no estaban incluidas, como Palo Alto, Cylance, CrowdStrike, McAfee y BitDefender.

Desde que el investigador reveló los problemas, todas las empresas implicadas han publicado una solución para sus productos EDR vulnerables.