Ενημέρωση 5/6/25: Προστέθηκε νέες πληροφορίες από το Sentinel One.
Μια νέα τεχνική παράκαμψης EDR “φέρει το δικό σας πρόγραμμα εγκατάστασης” εκμεταλλεύεται σε επιθέσεις για να παρακάμψει τη δυνατότητα προστασίας από το Sentinelone, επιτρέποντας στους παράγοντες απειλής να απενεργοποιήσουν τους πράκτορες ανίχνευσης και ανταπόκρισης (EDR) για την εγκατάσταση του Babuk Ransomware.
Αυτή η τεχνική εκμεταλλεύεται ένα κενό στη διαδικασία αναβάθμισης του πράκτορα που επιτρέπει στους ηθοποιούς απειλής να τερματίσουν τους πράκτορες EDR, αφήνοντας συσκευές απροστάτευτες.
Η επίθεση ανακαλύφθηκε από τον John Ailes και τον Tim Mashni της ομάδας ανταπόκρισης του Stroz Friedberg του Aon κατά τη διάρκεια μιας δέσμευσης με έναν πελάτη που υπέστη επίθεση ransomware νωρίτερα αυτό το έτος.
Η τεχνική δεν βασίζεται σε εργαλεία ή οδηγούς τρίτου μέρους, όπως συνήθως βλέπουμε με τις παράκαμψεις EDR, αλλά αντ ‘αυτού κακοποιεί τον ίδιο τον εγκαταστάτη Sentinelone.
Το Sentinelone συνιστά στους πελάτες να επιτρέψουν τη ρύθμιση “online εξουσιοδότησης”, η οποία είναι απενεργοποιημένη από προεπιλογή, για να μετριάσει αυτή την επίθεση.
“Θέλουμε να βγάλουμε τη λέξη για να εξασφαλίσουμε ότι οι πελάτες της Sentinelone γνωρίζουν ότι θα επιτρέψουν την προστασία της τοπικής αναβάθμισης”, δήλωσε ο John Ailes, διευθυντής του Aon Friedberg DFIR.
“Έχουμε διερευνήσει περιβάλλοντα με Sentinelone από τότε που η καθοδήγησή τους στάλθηκε στους πελάτες και έχουν δει πελάτες που εξακολουθούν να μην το έχουν ενεργοποιήσει.
Εκμεταλλεύονται ενεργά σε επιθέσεις ransomware
Οι ερευνητές του Stroz Friedberg εξηγούν ότι η Sentinelone προστατεύει τον πράκτορά του EDR με ένα χαρακτηριστικό προστασίας κατά του Tamper που απαιτεί χειροκίνητη δράση στην κονσόλα διαχείρισης Sentinelone ή έναν μοναδικό κώδικα για την κατάργηση ενός πράκτορα.
Ωστόσο, όπως και πολλοί άλλοι εγκαταστάτες λογισμικού, κατά την εγκατάσταση μιας διαφορετικής έκδοσης του πράκτορα, ο εγκαταστάτης Sentinelone τερματίζει τυχόν σχετικές διαδικασίες των Windows λίγο πριν τα υπάρχοντα αρχεία αντικατασταθούν με τη νέα έκδοση.
Οι ηθοποιοί απειλών ανακάλυψαν ότι θα μπορούσαν να εκμεταλλευτούν αυτό το μικρό παράθυρο ευκαιρίας εκτελώντας ένα νόμιμο πρόγραμμα εγκατάστασης Sentinelone και στη συνέχεια τερματίζοντας έντονα τη διαδικασία εγκατάστασης αφού κλείσει τις υπηρεσίες του πράκτορα, αφήνοντας συσκευές απροστάτευτες.
Πηγή: Stroz Friedberg
Νωρίτερα φέτος, ο Stroz Friedberg ασχολήθηκε με τη διερεύνηση μιας επίθεσης στο δίκτυο ενός πελάτη, με τα αρχεία καταγραφής να δείχνουν ότι οι επιτιθέμενοι απέκτησαν διοικητική πρόσβαση στο δίκτυο του πελάτη μέσω ευπάθειας.
Οι επιτιθέμενοι χρησιμοποίησαν έπειτα αυτή τη νέα παράκαμψη τερματίζοντας το πρόγραμμα εγκατάστασης Sentinelone Windows (“msiexec.exe“) Διαδικασία Πριν μπορέσει να εγκαταστήσει και να ξεκινήσει τη νέα έκδοση του πράκτορα. Με την προστασία που απενεργοποιείται στη συσκευή, οι ηθοποιοί απειλών ήταν στη συνέχεια σε θέση να αναπτύξουν το ransomware.
Σε μια συνομιλία με τον BleepingComputer, ο Ailes είπε ότι οι ηθοποιοί απειλής μπορούν να χρησιμοποιήσουν νέες ή παλαιότερες εκδόσεις του πράκτορα για να διεξάγουν αυτή την επίθεση, οπότε ακόμα και αν η τελευταία έκδοση τρέχει σε συσκευές, εξακολουθούν να είναι ευάλωτοι.
“Ο Stroz Friedberg παρατήρησε επίσης ότι ο οικοδεσπότης πήγε εκτός σύνδεσης στην κονσόλα διαχείρισης Sentinelone λίγο μετά τον τερματισμό του εγκαταστάτη”, προειδοποιεί, προειδοποιεί Έκθεση του Stroz Friedberg.
“Περαιτέρω δοκιμές έδειξαν ότι η επίθεση ήταν επιτυχής σε πολλαπλές εκδόσεις του πράκτορα Sentinelone και δεν εξαρτιόταν από τις συγκεκριμένες εκδόσεις που παρατηρήθηκαν σε αυτό το περιστατικό”.
Ο Stroz Friedberg αποκάλυψε υπεύθυνα αυτή την επίθεση στον Sentinelone, ο οποίος μοιράστηκε ιδιωτικά μετριασμούς με τους πελάτες τον Ιανουάριο του 2025.
Ο μετριασμός είναι να ενεργοποιηθεί η λειτουργία “online εξουσιοδότησης” στις ρυθμίσεις πολιτικής Sentinel, οι οποίες, όταν ενεργοποιούνται, απαιτούν έγκριση από την κονσόλα διαχείρισης Sentinelone πριν από τις τοπικές αναβαθμίσεις, υποβαθμίσεις ή απεγκατάσταση του πράκτορα.
Η Sentinelone μοιράστηκε επίσης τη συμβουλευτική του Stroz Friedberg σχετικά με αυτή τη νέα τεχνική με όλους τους άλλους σημαντικούς προμηθευτές EDR, σε περίπτωση που επηρεάστηκαν επίσης.
Ο Palo Alto Networks επιβεβαίωσε στον Stroz Friedberg ότι αυτή η επίθεση δεν επηρέασε το λογισμικό EDR.
UPDATE/5/6/25: Μετά τη δημοσίευση αυτής της ιστορίας, το Sentinel One μοιράστηκε μια δήλωση Επιβεβαιώνοντας την αναφορά του Stroz Friedberg και υποδεικνύοντας ότι αυτή η τεχνική αποτελεί παρόμοια απειλή με άλλους προμηθευτές EDR.
“Η Sentinelone μοιράστηκε επίσης την έρευνα του Stroz με εξέχοντες πωλητές EDR, καθώς η τεχνική είναι αυτή που θα μπορούσε να εφαρμοστεί έναντι άλλων προϊόντων προστασίας τελικού σημείου”, αναφέρει η δήλωση του Sentinel One.
“Ενώ αυτή η τοπική πρόσβαση δημιουργεί παρόμοιες απειλές με την αντι-παραμόρφωση για αυτά τα προϊόντα EDR, γενικά, ο Stroz συνέχισε να λέει ότι δεν έχουν καμία γνώση οποιουδήποτε προμηθευτή EDR, συμπεριλαμβανομένου του Sentinelone, που επί του παρόντος επηρεάζεται από αυτή την επίθεση όταν το προϊόν τους έχει διαμορφωθεί σωστά”.
Ο Sentinel One μοιράστηκε τις ακόλουθες οδηγίες για να μετριάσει αυτή την επίθεση:
- Έχουμε πολλούς τρόπους για την προστασία των πελατών από αυτό το είδος παράκαμψης.
- Η φράση του τοπικού πράκτορα είναι ενεργοποιημένη από προεπιλογή για να αποφευχθεί η μη εξουσιοδοτημένη απεγκατάσταση του πράκτορα και μπορεί επίσης να επιτρέπεται να προστατεύει από τις μη εξουσιοδοτημένες αναβαθμίσεις του πράκτορα.
- Προσφέρουμε επίσης μια τοπική λειτουργία εξουσιοδότησης αναβάθμισης για να εξασφαλιστεί ότι οι αναβαθμίσεις επικυρώνται μέσω της κονσόλας Sentinelone, η οποία είναι η συνιστώμενη μέθοδος για την προστασία από αυτή την παράκαμψη. Οι πελάτες Sentinelone μπορούν να έχουν πρόσβαση σε πληροφορίες σχετικά με αυτήν τη λειτουργία εδώ (ιστότοπος που προστατεύεται με κωδικό πρόσβασης).
- Εάν ένας πελάτης έχει ενεργοποιήσει 1Α ή 1Β, προστατεύονται πλήρως από αυτήν την παράκαμψη.
- Αυτή η τοπική διαμόρφωση προστασίας αναβάθμισης δεν είναι ενεργοποιημένη από προεπιλογή για τους υπάρχοντες πελάτες για να εξασφαλίσει τη συνέχεια των εργασιών με τις υπάρχουσες ροές εργασίας ανάπτυξης και αναβάθμισης, κυρίως σε εργαλεία τρίτων, όπως ο διαχειριστής διαμόρφωσης του συστήματος.
Η εταιρεία επιβεβαίωσε στον BleepingComputer ότι η λειτουργία εξουσιοδότησης τοπικής αναβάθμισης είναι η ίδια ρύθμιση “online εξουσιοδότησης” που αναφέρθηκε προηγουμένως.
Ενώ αυτή η ρύθμιση παραμένει στην τρέχουσα κατάσταση για τους υπάρχοντες πελάτες Sentinel One, η εταιρεία λέει ότι το ενεργοποιούν τώρα από προεπιλογή για νέες εγκαταστάσεις. Ο Sentinel One λέει επίσης ότι επικοινωνούν ξανά με τους πελάτες για να συμβουλεύσει ότι αυτή η ρύθμιση θα πρέπει να ενεργοποιηθεί.
Ο BleepingComputer ζήτησε από τον Sentinel ένα αν μπορούσαν να μοιραστούν τα άλλα EDR που επηρεάζονται.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
