חוקר ישראלי גילה: האקרים יכולים לפרוץ לאנטי-וירוס כדי למחוק מידע מהמחשב
חוקר ישראלי גילה: האקרים יכולים לפרוץ לאנטי-וירוס כדי למחוק מידע מהמחשב
החוקר אור יאיר מחברת SafeBreach מצא בין השאר כי 50% מאפליקציות האנטי-וירוס הפופולריות יכולות, על ידי שימוש בטכניקה מסוימת, להפוך לכלי בידי התוקפים. בתקיפה של איראן נגד מערכות חברת הנפט של סעודי נעשה שימוש בשיטה דומה
אפליקציות אנטי-וירוס יכולות לשמש האקרים כדי למחוק את המחשב האישי או של העסק, כך על פי מחקר של חוקר סייבר ישראלי שהוצג בכנס בלאק-האט אירופה שנערך בשבוע שעבר. על פי ממצאי החוקר אור יאיר מחברת SafeBreach, עד כ-50% מאפליקציות האנטי-וירוס מתוצרת מיקרוסופט, סנטינל וואן, טרנד מיקרו, אווסט או AVG ניתנות למלכוד בצורה הזו.
אפליקציות אנטי-וירוס כוללות מנגנון מחיקה מאוד חזק שמיועד למחוק וירוסים ונוזקות, אבל שימוש בטכניקה מסוימת יכול להפוך אותם לכלי בידי ההאקרים. שלא במפתיע, יאיר כינה את החולשה שגילה "אייקידו" - שיטת לוחמה יפנית שבמסגרתה הלוחם משתמש בכוח של היריב נגדו. במצגת שלו הוא מתאר את האפשרות לנצל פרצה ידועה המכונה time-of-check to time-of-use (TOCTOU) כדי להפעיל את היכולת הזו.
התקיפה שהאקרים יכולים לייצר מכונה Wiper או מוחקן, כשהרעיון הוא לשלוח נוזקה שתמחק את הכונן הראשי במחשב הנגוע או ברשת מחשבים. זו שיטה המשמשת בעיקר במסגרת לוחמה בין מדינות או במסגרת תקיפות כופר מתוחכמות. דוגמה לנוזקה מעין זו היא Shamoon, ששימשה את איראן בתקיפת מערכות חברת הנפט הלאומית של סעודיה, במסגרתה נמחקו כ-30 אלף מחשבים שלה. הפרצה שגילה יאיר מאפשרת לתוקף להשתמש באפליקציית האנטי-וירוס כאמצעי למחוק את המידע ממחשבי הקורבן.
כאמור, רק כ-50% מאפליקציות האנטי-וירוס הפופולריות סובלות מהבעיה. בין השאר מדובר במיקרוסופט דיפנדר, ב-EDR של סנטינל וואן, באייפקס וואן של טרנד מיקרו, בחבילת האנטי-וירוס של אווסט ושל AVG. למעט סנטינל וואן, כל החברות הנ"ל הקצו מספר CVE לפרצה - מה שמאשר את ההיתכנות שלה - וגם הודיעו על עדכוני אבטחה שחוסמים את האפשרות לנצל אותה. מוצרים אחרים כמו פאלו אלטו, XDR, סיילנס, קראודסטרייק, מקאפי וביטדיפנדר לא סבלו מהבעיה.