Эксперт компании SafeBreach Ор Яир провёл исследование, в ходе которого показал, что EDR-системы и антивирусы из средств защиты можно превратить в инструменты уничтожения любых данных в Windows, вплоть до полного уничтожениях системы.
Специалист объяснил, что EDR-системы, в отличие от антивирусов, предназначены для обнаружения и изучения вредоносной активности на конечных точках: подключённых к сети рабочих станциях, серверах, устройствах интернета вещей и других. При этом они не заменяют антивирусы.
Но решения обоих классов имеют важное сходство: их можно использовать не только для защиты системы, но и для её уничтожения. Это можно сделать в момент анализа какого-либо файла на предмет вредоносного кода или содержимого.
EDR работают следующим образом. Происходят два события: сначала файл распознаётся как вредоносный, сразу после этого — происходит удаление. Если каким-то образом вклиниться между этими двумя событиями, EDR-систему, как и антивирус, можно «перенацелить» на любые другие каталоги.
По сути, это уязвимость, относящаяся к классу TOCTOU (time-of-check to time-of-use: время проверки — время использования).
Такой проблеме подвержены продукты Microsoft, SentinelOne, TrendMicro, Avast и AVG.