Los Wiper son un tipo de malware que elimina o corrompe todos los datos que encuentra a su paso almacenados en memorias y discos. Lo que ha descubierto la firma SafeBrech son un conjunto de vulnerabilidades de Día Cero en diferentes soluciones EDR y Antivirus (AV) de varios fabricantes que convierte una herramienta en lo que ha denominado “next generation wiper”.
Or Yair, que es como se llama el investigador de SafeBrech que ha descubierto el problema, compartió los detalles de su estudio durante el Black Hat Europe. La idea del investigador era
explotar las herramientas de seguridad existentes en un sistema objetivo para hacer que los ataques sean más sigilosos y eliminar la necesidad de que un actor de amenazas sea un usuario privilegiado para realizar ataques destructivos. Explica a través de un post que abusar de los EDR y AV para la eliminación de datos es una buena manera de eludir las defensas de seguridad, ya que las capacidades de eliminación de archivos de las soluciones de seguridad son un comportamiento esperado y probablemente se pasarían por alto.
El software de seguridad antivirus y EDR escanea constantemente el sistema de archivos de una computadora en busca de archivos maliciosos y, cuando se detecta malware, intenta ponerlos en cuarentena o eliminarlos. Con esta premisa, Or Yair desarrolló una herramienta a la que bautizó como Aikido Wiper con el que ha sido capaz de “crear un proceso completo que me permitió eliminar casi cualquier archivo que quisiera en el sistema como usuario sin privilegios”.
De los 11 productos de seguridad que se probaron, seis resultaron vulnerables a este exploit. Los proveedore afectador han sido avisados y han lanzado parches para solucionar las vulnerabilidades de seguridad en sus productos.
A través del post, el investigador pide que todos los proveedores de EDR y AV “prueben de manera proactiva sus productos contra este tipo de vulnerabilidad y, si es necesario, desarrollen un plan de remediación para garantizar que estén protegidos”. Además, recomienda a las organizaciones que utilizan productos EDR y AV “que consulten con sus proveedores sobre estas vulnerabilidades e instalen de inmediato cualquier actualización de software o parche que proporcionen”.
