Уязвимость Elastic EDR 0-Day позволяет хакерам обходить обнаружение, запускать вредоносное ПО и вызывать BSOD
Компания AshES Cybersecurity раскрыла серьезную уязвимость нулевого дня в программном обеспечении Endpoint Detection and Response (EDR) компании Elastic , которая превращает инструмент безопасности в оружие против систем, для защиты которых он предназначен.
Ошибка, обнаруженная в подписанном Microsoft драйвере ядра «elastic-endpoint-driver.sys», позволяет злоумышленникам обходить меры безопасности, выполнять вредоносный код и неоднократно приводить к сбоям защищенных систем.
Несмотря на многочисленные попытки раскрытия информации по официальным каналам с июня 2024 года, уязвимость остается неисправленной, что побудило компанию по безопасности опубликовать свои выводы.
Эта уязвимость представляет собой кошмарный сценарий для кибербезопасности предприятия, где надежное программное обеспечение безопасности становится инструментом, используемым для компрометации систем.
Уязвимость нулевого дня влияет на драйвер ядра Elastic из-за ошибки разыменования нулевого указателя (CWE-476), которая возникает, когда управляемые пользователем указатели передаются в функции ядра без надлежащей проверки.
Согласно техническому анализу AshES Cybersecurity, уязвимость делает возможной разрушительную цепочку атак, состоящую из четырех этапов:
- Обход EDR : злоумышленники могут обойти решения безопасности Elastic, используя специальный загрузчик на базе языка C.
- Удаленное выполнение кода : они получают возможности выполнения кода с минимальным риском обнаружения.
- Устойчивость : они устанавливают долгосрочный доступ, внедряя пользовательский драйвер ядра, который взаимодействует с уязвимым компонентом Elastic.
- Привилегированный отказ в обслуживании : они могут спровоцировать повторные сбои системы, делая защищенные системы непригодными для использования.
Уязвимость возникает по определённому смещению в драйвере, где инструкция «call cs:InsertKernelFunction» выполняется с регистром, разыменовывающим управляемый пользователем указатель. Если этот указатель равен NULL, освобождён или повреждён, процедура ядра аварийно завершает работу без проверки, что приводит к появлению ужасного синего экрана смерти (BSOD) .
Наибольшую обеспокоенность вызывает тот факт, что этот уязвимый путь кода может быть запущен во время обычных системных операций, включая задачи компиляции или попытки внедрения процесса.
PoC демонстрирует реальное влияние
Компания AshES Cybersecurity разработала комплексную демонстрационную версию концепции с использованием пользовательских исполняемых файлов и файлов драйверов, чтобы продемонстрировать воспроизводимость уязвимости в реалистичных условиях.
Их исследовательский загрузчик выполняет обход EDR, загружает пользовательский драйвер, настраивает сохранение для перезагрузок системы, а затем перезапускает целевую систему.
Сопутствующий пользовательский драйвер взаимодействует с уязвимым компонентом Elastic, в результате чего защитное программное обеспечение начинает вести себя подобно вредоносному ПО и приводит к сбою системы при каждой последующей загрузке.
Последствия выходят далеко за рамки технической демонстрации. Каждая организация, использующая решения безопасности Elastic, фактически скрывает в своих надежных системах безопасности потенциальное оружие.
Злоумышленники могут воспользоваться этой уязвимостью, чтобы удаленно отключить защищенные Elastic конечные точки предприятия, что приведет к масштабным сбоям в работе.
Уязвимость подрывает фундаментальное доверие к подписанным драйверам ядра и поднимает серьезные вопросы об ответственности поставщиков решений безопасности.
Хронология раскрытия информации подчеркивает существующие пробелы в процессах реагирования на уязвимости. Компания AshES Cybersecurity обнаружила уязвимость 2 июня 2024 года и предприняла попытку ответственного раскрытия информации через HackerOne 11 июня.
Не получив адекватного ответа, 29 июля они запустили инициативу «Нулевого дня» (ZDI). Наконец, 16 августа они приступили к независимому публичному раскрытию информации.
Уязвимый продукт elastic-endpoint-driver.sys версии 8.17.6 остается уязвимым, и исправление отсутствует.
Драйвер имеет подписи Microsoft Windows Hardware Compatibility Publisher от Elasticsearch, Inc., что подчеркивает, как надежные подписанные компоненты могут стать источником проблем безопасности.
Компания AshES Cybersecurity, по иронии судьбы являющаяся платным клиентом Elasticsearch и выбравшая EDR в качестве надежного решения для защиты, обнаружила уязвимость во время легитимных операций по тестированию в пользовательском режиме в своей исследовательской среде.
Их выводы подчеркивают суровую реальность: когда программное обеспечение безопасности может быть использовано в качестве оружия против хост-системы, грань между защитником и злоумышленником становится опасно размытой.
Индикаторы компрометации (IOC)
| Тип индикатора | Ценить |
|---|---|
| Имя файла | эластичный-конечный-драйвер.sys |
| SHA-256 хэш | A6B000E84CB68C5096C0FD73AF9CEF2372ABD591EC973A969F58A81CF1141337 |
About The Author
