2min

Aanvallen op Windows Defender en Kaspersky EDR maken het mogelijk op afstand bestanden te wissen. Ook na patches zouden hackers in staat blijven de gaten in deze securitytools te misbruiken.

In een presentatie op Black Hat Asia onthulde securitybedrijf SafeBreach dat zowel Windows Defender als Kaspersky EDR kwetsbaar zijn voor remote-access aanvallen die bestanden van getroffen systemen kunnen verwijderen.

De securitytools kunnen zodanig worden gemanipuleerd dat zij legitieme bestanden aanzien voor false positives of kwaadaardige bestanden en die vervolgens verwijderen. Cybercriminelen moeten hiervoor wel eerst toegang tot de bestanden en/of databases hebben.

Afbeelding met een boekomslag met de titel "edr = erase data remotely" van tomer bar en shmuel cohen, waarop een robot is afgebeeld met een rode "reloaded"-stempel erboven.

Aanvalsstrategie

De aanvalsvector die kan worden gebruikt, ligt in de byte signatures. Zowel Windows Defender van Microsoft als Kaspersky EDR gebruiken deze unieke volgordes van bytes voor het ontdekken van malware.

Wanneer de hackers onjuiste byte signatures in de onderliggende databases weten te introduceren, ontdekken de securitytools deze potentiële malware en verwijderen de bestanden. Zonder dat zij ‘weten’ dat het legitieme bestanden zijn waaraan de byte signatures zijn toegevoegd.

In een test gebruikten de securityonderzoekers een malafide byte signature die zij op VirusTotal tegenkwamen. Deze werd in een database gestopt door het aanmaken van een nieuwe gebruikersnaam die de malafide byte signature bevatte.

Het gebruikte EDR-programma (de onderzoekers legden hierbij de focus op Windows Defender) constateerde vervolgens dat de database was geïnfecteerd met malware en verwijderde daarom het gemanipuleerde bestand.

De onderzoekers concludeerden hieruit dat de securitysoftware dit ook voor hele databases en vm’s kan doen en dus grote gevolgen heeft. Uiteindelijk kan dit grote gevolgen hebben voor de werking van diverse applicaties die afhankelijk zijn van de databases.

In het onderzoek werd expliciet de nadruk op Windows Defender gelegd omdat de aangetroffen kwetsbaarheid mogelijk grote gevolgen heeft voor Azure-cloudomgevingen.

Reacties Microsoft en Kaspersky

De onderzoekers hebben Microsoft al begin vorig jaar op de hoogte gesteld van de kwetsbaarheid. De techgigant bracht in april 2023 een patch uit. Desondanks bleek Windows Defender nog steeds kwetsbaar te zijn voor een andere byte signature die SafeBreach ontdekte in augustus 2023.

Opnieuw werd de techgigant op de hoogte gesteld en in december vorig jaar is dit verholpen. De onderzoekers hebben nu Microsoft een derde keer gewaarschuwd, maar Microsoft geeft aan dat alle genomen maatregelen momenteel voldoende zijn om het risico te minimaliseren.

Kaspersky heeft aanvankelijk geen fix uitgebracht voor zijn EDR-product. In een later stadium is alsnog een patch uitgebracht die het probleem aanpakte. De securityexperts van SafeBreach geven echter geen garantie dat deze maatregel voldoende is om verdere byte signature-aanvallen te voorkomen.

Overigens zijn niet alleen de platforms van Microsoft en Kaspersky zijn gevoelig voor EDR-manipulatie. Ook het Cortex XDR-platform van Palo Alto Networks blijkt hiervoor gevoelig, ontdekten de securityexperts van SafeBreach.

In Techzine Talks bespraken Coen en Sander onlangs de slechte security bij Microsoft. Luister hier de podcast: