微软等安全软件存在数据擦除风险

关键要点

• 微软、TrendMicro、Avast、SentinelOne 和 AVG 的端点检测与响应（EDR）和杀毒系统可能被利用作为数据擦除工具。
• SafeBreach 的研究员 Or Yair 通过创建一个处理句柄打开且未定义写入和删除权限的恶意文件，成功破坏了这些安全解决方案。
• 此漏洞还能够绕过Windows的受控文件访问功能，从而使得被信任的安全软件能够删除保护文件。
• CrowdStrike、Palo Alto Networks、McAfee、Bitdefender 和 Cylance 等安全系统未受到此次攻击影响。
• 所有受影响的供应商已发布补丁以解决该漏洞。

最近，有报道指出，诸如微软、TrendMicro、Avast、SentinelOne 和 AVG的端点检测与响应（EDR）和杀毒系统可能被恶意利用来充当。根据 BleepingComputer的报道，SafeBreach 的研究人员 Or Yair 能够通过生成一个处理句柄未关闭、且未明确定义写入和删除权限的恶意文件，从而成功入侵了这些 EDR和杀毒解决方案。

该攻击的执行方式相当巧妙，利用了待处理句柄的特性。在此过程中，系统重启后将释放该处理句柄，从而允许文件被删除。Yair指出：“这种漏洞也有效地绕过了Windows中的一项名为受控文件访问的 ransomware保护功能。该功能可以防止未经过处理的进程修改或删除受保护文件夹内的任何文件。然而，由于EDR或AV是系统中最受信任的实体，这个功能并不防止它们删除这些文件。”

令人欣慰的是，CrowdStrike、Palo Alto Networks、McAfee、Bitdefender 和 Cylance 等安全系统未受到此次攻击的影响。同时，所有受影响的供应商也已迅速发布补丁，以应对这一漏洞，并保护用户的系统安全。

为了确保您的数据和系统安全，建议用户及时更新相关的防病毒软件和EDR工具，采用必要的安全措施，并定期监控系统的安全状况。