Microsoft Defender、Avast、AVG 轉而反對 Windows 永久刪除文件

或者，SafeBreach 的安全研究員 Yair 最近發布了一個概念驗證 (POC)，展示瞭如何誘使反惡意軟件解決方案擦除或永久刪除您 PC 上的無害文件。POC 被稱為“合氣道”，其靈感來自日本武術，該武術用於將對手的動作轉向他們。雖然人們繼續爭論武術的實用性和合法性，但毫無疑問，合氣道擦拭器是有效的。那是因為微軟已經承認了 Defender 中的漏洞利用並且已經修補了該漏洞。

其他主要的反惡意軟件供應商，如 Avast、AVG 和 TrendMicro 也被發現容易受到此漏洞的影響。同時，McAfee 和 BitDefender 等其他流行的解決方案毫髮無損。這是經過測試的產品的完整列表。

Yair 解釋說，合氣道擦拭器基於所謂的檢查時間到使用時間 (TOCTOU) 漏洞。防病毒解決方案首先檢測文件並將其確定為惡意文件，然後將其刪除。使用 TOCTOU 的合氣道用於在檢測到惡意軟件後插入備用路徑，然後導致刪除合法文件而不是惡意文件。甚至系統文件也可以使用它來刪除。

下面簡要描述了這些步驟：

1. 在C:\temp\Windows\System32\drivers\ndis.sys中創建帶有惡意文件的特殊路徑
2. 按住它的手柄並強制 EDR 或 AV 將刪除操作推遲到下一次重啟之後
3. 刪除C:\temp目錄
4. 創建連接C:\temp → C:\
5. 重啟

有趣的是，對於 Defender 和 Defender for Endpoint，Yair 注意到 Defender 沒有刪除文件，而是刪除了文件夾。Microsoft 已為此分配了漏洞 ID“ CVE-2022-37971 ”，並已在最新的 Microsoft Malware Protection Engine 版本 1.1.19700.2 中修復了該問題。

同時，TrendMicro、Avast 和 AVG 也發布了各自產品的補丁：

• TrendMicro Apex One：修補程序 23573和Patch_b11136
• Avast 和 AVG 殺毒軟件：22.10

您可以在此處找到有關 Akido Wiper 和 SafeBreach 官方網站上的漏洞的更多詳細信息。Akido Wiper POC 在最近的 Black Hat Europe 2022 安全會議上展示。因此，您還可以在此頁面上找到更多信息。