SafeBreach'te bir güvenlik araştırmacısı olan Or Yair, yakın zamanda kötü amaçlı yazılımdan koruma çözümlerinin PC'nizdeki zararsız dosyaları kalıcı olarak silmek için nasıl kandırılabileceğini gösteren bir kavram kanıtı (POC) yayınladı. “Aikido” olarak adlandırılan POC, rakiplerin hareketlerini kendilerine karşı çevirmek için kullanılan Japon dövüş sanatından ilham alıyor. Microsoft, Defender’da böyle bir güvenlik açığı olduğunu doğruladı ve ardından yamaladı.
Avast, AVG ve TrendMicro gibi diğer büyük kötü amaçlı yazılım önleme sağlayıcıların da bu açığa sahip olduğu söyleniyor. Bu arada, McAfee ve BitDefender gibi diğer bazı popüler çözümler sorundan etkilenmiyor.
Yair, “kullanım süresi denetiminden kullanım süresine” olarak adlandırılan (TOCTOU) bir güvenlik açığını kullanıyor. Bir virüsten koruma çözümü önce bir dosyayı kötü amaçlı olarak algılayıp belirliyor ve ardından onu siliyor. TOCTOU kötü amaçlı yazılımın algılanmasından sonra dosya yolunu değiştiriyor ve anti-virüs programının bu kötü amaçlı dosya yerine ilgisiz bir dosyanın silmesine yol açıyor. Bu yöntem kullanılarak sistem dosyaları bile silinebiliyor.
İlginç bir şekilde, Defender ve Defender for Endpoint söz konusu olduğunda Yair, dosyaların değil klasörlerin silindiğini fark etmiş. Microsoft buna "CVE-2022-37971" güvenlik açığı kimliğini atadı ve sorunu en son güncellemede yamaladı. Bu sırada TrendMicro, Avast ve AVG de kendi ürünleri için yama güncellemeleri yayınladı.