SEC Consult’taki güvenlik araştırmacıları, Crowdstrike’in şahin sensöründe saldırganların algılama mekanizmalarını atlamasına ve kötü amaçlı uygulamalar yürütmesine izin veren önemli bir güvenlik açığı keşfettiler.
“Sleeping Beauty” olarak adlandırılan bu güvenlik açığı başlangıçta 2023’ün sonlarında Crowdstrike’a bildirildi, ancak sadece bir “tespit boşluğu” olarak reddedildi.
Bypass tekniği, EDR süreçlerini feshetmeye çalışmak yerine askıya almayı ve kötü niyetli aktörlerin tespit edilmemiş olarak çalışması için etkili bir fırsat penceresi oluşturmayı içeriyordu.
SEC Consult’daki araştırmacılar, bir saldırganın bir Windows makinesinde NT Authority \ sistem izinlerini kazandıktan sonra, Crowdstrike Falcon sensörü süreçlerini askıya almak için Process Gezgini’ni kullanabileceklerini buldular.
Bu süreçleri öldürmek sistem tarafından yasaklanmış olsa da, onları askıya almak şaşırtıcı bir şekilde izin verildi ve önemli bir güvenlik boşluğu yarattı.
Process Gezgini, bu kritik güvenlik süreçlerinin herhangi bir direnç olmadan askıya alınmasına izin verdi.
.webp)
Bu kırılganlığın sonuçları, uç nokta koruması için Crowdstrike’a dayanan kuruluşlar için önemlidir.
Falcon sensörü işlemleri askıya alındığında, normal olarak sonlandırılacak veya çıkarılacak kötü amaçlı uygulamalar serbestçe yürütülebilir ve diskte kalabilir.
Bu davranış, Süspansiyon Denemelerini tamamen engelleyen Microsoft Defender için Microsoft Defender gibi diğer EDR çözümlerinin tam bir aksine duruyor.
Kavram kanıtlarında, SEC Consult, Winpeas, Rubeus ve Cerrity gibi araçların – Crowdstrike tarafından tipik olarak engellenen – sensör işlemleri askıya alındığında nasıl engellenmeyeceğini gösterdi.
.webp)
Bunun yanı sıra, “winpeas başlar” ve “winpeas numaralandırma görevlerini yerine getirebilir” belgesi WinPeas, bu askıya alınmış durumda numaralandırma görevlerini başarıyla yürütüyor ve gerçekleştiriyor.
.webp)
Uygulama
Teknik analiz, bu güvenlik açığı için önemli uyarılar ortaya koydu. Sensör süspansiyonu sırasında zaten bağlanmış süreçler, Crowdstrike’ın çekirdek süreçleri tarafından denetlenmiştir.
Bu, LSASS bellek dökümleri gibi bazı yüksek riskli eylemlerin hala koruma mekanizmalarını tetikleyeceği ve rahatsız edici uygulamanın kaldırılmasına yol açacağı anlamına geliyordu.
Her ne kadar güvenlik açığı, saldırganların korunan sistemlerde bir dayanak kazanmaları için yeterli fırsat sağlamıştır.
.webp)
Araştırmacı askıya alınmış süreçlere devam ettiğinde, Crowdstrike hemen karantina ve kötü amaçlı araçları kaldıracak ve süspansiyonun gerçekten normal algılama protokollerini atladığını doğrulayacaktır.
Başlangıçta Crowdstrike, bu davranışın “sensör içinde bir güvenlik açığı oluşturmadığını” ve “kullanıcı modu hizmetini askıya almanın çekirdek bileşenlerini veya sensör iletişimlerini durdurmadığını” söyledi.
Bununla birlikte, 2025 yılına kadar, Crowdstrike, süreç süspansiyonunu önleyen sessizce uygulandı ve daha önce reddedildikleri güvenlik sonuçlarını etkili bir şekilde kabul etti.
SEC danışın bu değişikliği, satıcıdan gelen resmi bildirim yerine sonraki güvenlik değerlendirmeleri sırasında tesadüfen keşfetti
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free