СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#ИБ

Уязвимость SentinelOne: Хакеры обошли защиту EDR

Уязвимость SentinelOne: Хакеры обошли защиту EDR

Источник: www.aon.com

В ходе недавнего инцидента, проанализированного компанией Stroz Friedberg, хакер успешно обошел защиту от несанкционированного доступа в решении SentinelOne для обнаружения конечных точек и реагирования на них (EDR). Это позволило ему запустить версию программы-вымогателя Babuk. Данный случай выявил критическую уязвимость, позволяющую хакерам получать доступ к локальному администрированию и отключать EDR agent без использования необходимого кода защиты от несанкционированного доступа.

Ключевые аспекты инцидента

Судебно-медицинская экспертиза показала следующее:

  • Обнаружены несколько случаев создания законных, подписанных файлов установщика SentinelOne, наиболее известными из которых являются SentinelOneInstaller_windows_64bit_v23_4_4_223.exe и SentinelInstaller_windows_64bit_v23_4_6_347.msi.
  • Журналы событий выявили систематические изменения в версиях продукта в течение короткого десятиминутного периода.
  • Некоторые идентификаторы событий содержали команды удаления и завершения установки.
  • Обнаружены различные изменения в запланированных задачах, состояниях служб и конфигурациях локального брандмауэра.

Стоит отметить, что в ходе атаки не было обнаружено экземпляров вредоносных файлов драйверов или скомпрометированных уязвимых драйверов. Для запуска эксплойта аналитики использовали установщик MSI другой версии SentinelOne, была задействована стандартная процедура обновления или понижения версии. В этом процессе использовался Microsoft msiexec.exe.

В отсутствие каких-либо процессов SentinelOne, компания Stroz Friedberg прервала обновление, завершив работу msiexec.exe через командную строку с правами локального администратора, что эффективно остановило защитные меры агента EDR.

Ответные меры компании SentinelOne

В ответ на этот инцидент SentinelOne выпустила руководство по устранению уязвимостей. В частности, платформа включает:

  • Функцию определения парольной фразы локального агента, которая включена по умолчанию для предотвращения несанкционированного удаления и обновлений.
  • Рекомендацию использовать функцию локальной авторизации при обновлении, что обеспечивает проверку подлинности всех обновлений через консоль SentinelOne.

Однако важно отметить, что данные защитные настройки по умолчанию не активированы для существующих клиентов, чтобы поддерживать непрерывность работы с текущими системами развертывания, такими как System Center Configuration Manager.

Выводы и рекомендации

Этот инцидент служит важным напоминанием о необходимости постоянной бдительности и обновления методов обеспечения безопасности, чтобы защититься от сложных техник обхода, используемых хакерами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: