São Paulo — InkDesign News — Um novo vetor de ataque chamado “Bring Your Own Installer” (BYOI) pode contornar instâncias mal configuradas do produto de resposta e detecção de endpoints (EDR) da SentinelOne, expondo sistemas a ransomware como o Babuk.
Vetor de ataque
De acordo com uma pesquisa da Stroz Friedberg, um serviço de resposta a incidentes da Aon, um ator de ameaças conseguiu obter “acesso administrativo local em um servidor publicamente acessível explorando uma CVE em um aplicativo” sem a necessidade de um código anti-tamper. Após desabilitar o EDR, o atacante executou uma variante do ransomware Babuk, que surgiu em 2021.
Impacto e resposta
A configuração vulnerável do EDR da SentinelOne permitia atualizações locais que poderiam ser exploradas pelos atacantes. Durante um teste com um servidor virtual Windows 2022, os pesquisadores descobriram que o processo de instalação de uma nova versão do software terminava todos os processos da versão anterior cerca de 55 segundos antes de iniciar novos processos. Essa janela de tempo foi utilizada para interromper o upgrade e deixar o sistema sem proteção.
“Porque os processos antigos do SentinelOne foram encerrados durante a atualização, e os novos foram interrompidos antes de serem iniciados, o resultado final foi um sistema sem proteção do SentinelOne.”
(“Because the old version SentinelOne processes were terminated during the upgrade, and the new processes were interrupted before spawning, the final result was a system without SentinelOne protection.”)— Stroz Friedberg, Pesquisa
Análise e recomendações
Como resposta, a SentinelOne emitiu uma atualização que facilita a prevenção contra essas técnicas, fornecendo um novo interruptor chamado Local Upgrade Authorization. Este recurso remove a capacidade de realizar atualizações ou downgrades locais e já está habilitado por padrão para novos clientes. A pesquisa também indicou que, quando configurado corretamente, nenhuma das soluções EDR atuais, incluindo a da SentinelOne, está impactada por este vetor de ataque.
O que isso significa para o setor? A adoção de melhores práticas para a configuração de software de segurança é essencial. Atualizações em tempo real e a aplicação de recomendações de fornecedores são fundamentais para mitigar os riscos associados a tais vulnerabilidades.
Fonte: (Dark Reading – Segurança Cibernética)
