Istraživači sigurnosti u SEC Consult-u otkrili su značajnu ranjivost u CrowdStrike-ovom Falcon Sensoru koji je omogućio napadačima da zaobiđu mehanizme detekcije i izvrše maliciozne aplikacije.
Ova ranjivost, nazvana “Uspavana ljepotica”, prvobitno je prijavljena CrowdStrike-u krajem 2023. godine, ali je odbačena kao samo “praznina u otkrivanju”.
Tehnika zaobilaženja uključivala je suspenziju EDR procesa umjesto pokušaja da ih prekine, efektivno stvarajući prozor mogućnosti za hakere da rade neotkriveno.
Istraživači iz SEC Consult-a su otkrili da nakon što je napadač dobio dozvole NT AUTHORITY\SYSTEM na Windows mašini, mogao bi koristiti Process Explorer da suspenduje CrowdStrike Falcon Sensor procese.
Iako je sistem zabranjeno ukidanje ovih procesa, njihovo suspendovanje je iznenađujuće dozvoljeno, stvarajući značajnu sigurnosnu rupu.
Process Explorer je omogućio suspenziju ovih kritičnih sigurnosnih procesa bez ikakvog otpora.
.webp)
Implikacije ove ranjivosti su značajne za organizacije koje se oslanjaju na CrowdStrike za zaštitu krajnje tačke.
Kada su procesi Falcon Sensora obustavljeni, maliciozne aplikacije koje bi inače bile prekinute ili uklonjene mogle su se slobodno izvršavati i ostati na disku.
Ovo ponašanje je u potpunoj suprotnosti s drugim EDR rješenjima kao što je Microsoft Defender za Endpoint, koji u potpunosti blokira pokušaje suspenzije.
U svom dokazu koncepta, SEC Consult je demonstrirao kako alati kao što su winPEAS, Rubeus i Certipy – koje CrowdStrike obično blokira – mogu raditi nesmetano kada su procesi senzora suspendovani.
.webp)
Dok pored toga, “winPEAS startuje” i “winPEAS može obavljati zadatke nabrajanja” dokumentuju da winPEAS uspješno izvršava i izvršava zadatke nabrajanja tokom ovog suspendovanog stanja.
.webp)
Implementacija
Tehnička analiza je otkrila važna upozorenja za ovu ranjivost. Procesi koji su već bili zakačeni u vrijeme suspenzije senzora ostali su pod nadzorom CrowdStrike-ovih kernel procesa.
To je značilo da bi određene radnje visokog rizika, kao što su LSASS memorije, i dalje pokretale zaštitne mehanizme i dovele do uklanjanja povrijeđene aplikacije.
Iako je sigurnosni jaz pružio dovoljnu priliku napadačima da steknu uporište unutar zaštićenih sistema.
.webp)
Kada bi istraživač nastavio sa suspendovanim procesima, CrowdStrike bi odmah stavio u karantin i uklonio maliciozne alate, potvrđujući da je suspenzija zaista zaobišla normalne protokole za otkrivanje.
U početku je CrowdStrike odgovorio da ovo ponašanje “ne predstavlja sigurnosnu ranjivost unutar senzora” i da “obustavljanje usluge korisničkog načina rada ne zaustavlja komponente kernela ili komunikaciju senzora.”
Međutim, do 2025. godine, CrowdStrike je tiho implementirao popravke koje spriječavaju obustavu procesa, efektivno priznajući sigurnosne implikacije koje su prethodno odbacili.
SEC Consult je ovu promjenu otkrio slučajno tokom naknadnih sigurnosnih procjena, a ne putem formalnog obavještenja od strane dobavljača
Izvor: CyberSecurityNews
