Изображение: recraft
Компания Aon представила аналитический отчёт, подготовленный специалистами подразделения Stroz Friedberg Incident Response Services. Документ посвящён методике, позволяющей обойти защитные механизмы одной из популярных EDR-платформ — SentinelOne. Исследование, опубликованное 5 мая, раскрывает, как злоумышленники используют внутренние особенности обновлений программного обеспечения, чтобы обойти встроенные меры противодействия.
В центре внимания оказалась техника, которую эксперты обозначили как «Принеси свой собственный установщик». Она даёт возможность обойти систему контроля доступа SentinelOne за счёт уязвимости в процессе обновления или отката версии установленного агента. Если атака проходит успешно, устройство временно утрачивает защиту, предоставляя злоумышленникам возможности для вмешательства.
По информации, изложенной в отчёте Aon, специалисты наблюдали случай, при котором атакующий, получив административные права на локальной машине, отключил защиту и инициировал запуск модифицированной версии программы-вымогателя Babuk. Этот инцидент стал ярким примером того, как даже современная защита может быть обойдена при определённых условиях.
Как подчёркивают в Aon, разработчик SentinelOne уже распространил среди клиентов рекомендации по минимизации рисков, связанных с обнаруженной техникой. При этом, как отметили в компании, на момент выхода доклада не было зарегистрировано ни одного подтверждённого случая успешного применения метода при корректной конфигурации системы.
Специалисты подчёркивают, что уязвимость не относится к самой SentinelOne напрямую. Метод атаки требует определённых условий, в частности, наличия публичного сервера с доступом к агенту EDR. Нарушитель использовал слабость в стороннем приложении, работавшем на этом сервере, чтобы получить права администратора, а затем уже скомпрометировать агент SentinelOne.
Механизмы SentinelOne включают защиту от несанкционированного доступа: только через администраторскую консоль или с помощью индивидуального кода можно отключить или удалить компонент защиты. Но в описанном инциденте нападавший обошёл эти ограничения, воспользовавшись контролем над хостом, на котором работало средство защиты.
В Aon отмечают, что инцидент демонстрирует необходимость комплексного подхода к кибербезопасности, где важны не только защитные инструменты, но и контроль над инфраструктурой, регулярные обновления стороннего софта и ограничение внешнего доступа к критичным компонентам.
Оригинал публикации на сайте CISOCLUB: "Aon: хакеры нашли новый метод обхода решения SentinelOne EDR".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.