Vulnerabilidade “Aikido” transforma EDR em malware Wiper

7 de dezembro de 2022: Um pesquisador de segurança da SafeBreach divulgou uma vulnerabilidade chamada "Aikido", com subsequente código de exploração de prova de conceito (POC) (12 de dezembro) que pode potencialmente transformar agentes EDR executados em endpoints do Microsoft Windows em limpadores de dados maliciosos.

12 de Dezembro de 2022: A CyberHoot descobriu uma vulnerabilidade crítica no ConnectWise e no SonicWall Capture Client (e em outros produtos EDR listados abaixo). Os MSPs são instados a tomar medidas emergenciais para corrigir seus sistemas o mais rápido possível. Surgiram evidências de exploits que resultam na execução arbitrária de código com privilégios de administrador elevados.

O que é o malware Wiper?

“Em segurança de computadores, um wiper é uma classe de malware que visa apagar (limpar, daí o nome) o disco rígido do computador que ele infecta, excluindo maliciosamente dados e programas.” Wikipedia

Processo de gerenciamento de alertas de vulnerabilidade Nível de alerta:

Alerta de aviso crítico: ação imediata necessária

Sistemas impactados:

As seguintes soluções de software foram identificadas e testadas pela ConnectWise. Outros sistemas podem estar em risco. Consulte as páginas de aviso do seu fornecedor para confirmar as exposições e aplicar os patches o mais rápido possível.

• O Microsoft Windows com agentes SentinelOne executando todas as versões anteriores a 22.2.4.558 são vulneráveis.
• Os agentes SentinelOne são utilizados nos seguintes produtos ConnectWise: ConnectWise SentinelOne Control, ConnectWise SentinelOne Complete, ConnectWise MDR com SentinelOne e ConnectWise MDR Premium com SentinelOne.
• Este exploit também foi testado contra Defender, Defender para Endpoint, TrendMicro Apex One, Avast Antivírus e AVG Antivírus e foi considerado vulnerável.

Mitigação

ConecteWise

1. Instale o agente SentinelOne versão 22.2 SP1 (22.2.4.558) nos pontos de extremidade do seu agente Windows.
2. Reinicie o sistema se o Console SentinelOne mostrar “reinicialização pendente”.

Mecanismo de proteção contra malware da Microsoft:

1. Instale a versão 1.1.19700.2 do software Defender e reinicie, se solicitado.

TrendMicro Apex One:

1. Instale o Hotfix 23573 e o Patch_b11136 do software e reinicie se solicitado.

Avast e AVG Antivírus:

1. Instale a versão 22.10 do software antivírus e reinicie, se solicitado.

VEndor Advories:

Consultoria ConnectWise: https://www.connectwise.com/company/trust/advisoriesAviso do Microsoft Defender: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37971Aviso da Avast e da AVG: https://nvd.nist.gov/vuln/detail/CVE-2022-4173Consultoria da Trend Micro: https://success.trendmicro.com/dcx/s/solution/000291830?language=en_US

Recursos adicionais:

Consultoria ao cliente do SonicWall Capture: https://www.sonicwall.com/support/knowledge-base/capture-client-differences-between-sonicwall-managed-and-self-managed-versions/181114002946980/Definição de hora de verificação e hora de uso:  https://cwe.mitre.org/data/definitions/367.htmlAviso sobre SonicWall Aikido: https://www.sonicwall.com/support/knowledge-base/aikido-exploit-and-its-impact-on-sonicwall-capture-client/221213114338960/Anúncio BlackHat SafeBreach: Vulnerabilidade no Aikido  https://i.blackhat.com/EU-22/Wednesday-Briefings/EU-22-Yair-Aikido-Turning-EDRs-to-Malicious-Wipers.pdf

Proteja seu negócio com a CyberHoot hoje mesmo!!!

Inscreva-se para assistir