Calipia : le blog

La société SafeBreach, a récemment publié un POC montrant comment les solutions anti-malware peuvent être détournées pour effacer ou supprimer définitivement des fichiers inoffensifs sur votre PC. Le POC s’appelle « Aikido » et s’inspire de l’art martial japonais qui est utilisé pour retourner les mouvements des adversaires contre eux.

Yair, le chercher en sécurité de SafeBreach explique queAikido est basé sur ce que l’on appelle la vulnérabilité TOCTOU (time-of-check to time-of-use). Une solution antivirus détecte et détermine d’abord un fichier comme étant malveillant, puis le supprime. Aïkido utilisant TOCTOU insére un chemin alternatif après la détection du malware pour ensuite conduire à la suppression d’un fichier légitime au lieu de ce fichier malveillant par l’antivirus lui-même. Même les fichiers système peuvent être supprimés à l’aide de cette méthode…

Microsoft a déjà reconnu l’exploit dans Defender et bon élève, a corrigé immédiatement la vulnérabilité. D’autres grands éditeurs de logiciels anti-malware comme Avast, AVG et TrendMicro ont également été confrontés à cette faille. En revanche d’autre éditeurs populaires comme McAfee et BitDefender se serait pas touchées. Fait intéressant, dans le cas de Defender et Defender for Endpoint, Yair a remarqué que Defender ne supprimait pas les fichiers, mais les dossiers à la place.

Vous trouverez plus de détails sur Akido Wiper et l’exploit sur le site officiel de SafeBreach. Le POC Akido a été présenté lors de la récente conférence sur la sécurité Black Hat Europe 2022.