Ashes Siber Güvenlik, güvenlik aracını korumak için tasarlandığı sistemlere karşı bir silah haline getiren Elastik’in uç nokta tespit ve yanıt (EDR) yazılımında ciddi bir sıfır günlük güvenlik açığı açıkladı.
Microsoft tarafından imzalanan çekirdek sürücüsünde bulunan “Elastik uç nokta-driver.sys” de bulunan kusur, saldırganların güvenlik önlemlerini atlamasını, kötü amaçlı kodları yürütmelerini ve çarpışma korumalı sistemleri tekrar tekrar geçirmesini sağlar.
Haziran 2024’ten bu yana resmi kanallar aracılığıyla birden fazla açıklama girişimine rağmen, güvenlik açığı açılmaya devam ederek güvenlik firmasını bulgularıyla halka açılmasını istemektedir.
Güvenlik açığı, güvenilir güvenlik yazılımının sistemleri tehlikeye atmak için kullanılan araç haline geldiği kurumsal siber güvenlik için bir kabus senaryosunu temsil eder.
Sıfır günü, kullanıcı kontrol edilebilir işaretçiler uygun doğrulama olmadan çekirdek işlevlerine aktarıldığında meydana gelen bir null işaretçisi dereference kusuru (CWE-476) yoluyla elastik sürücünün etkisini etkiler.
Ashes Siber Güvenlik’in teknik analizine göre, güvenlik açığı yıkıcı dört aşamalı bir saldırı zinciri sağlar:
- EDR Bypass: Saldırganlar, özel bir C tabanlı yükleyici kullanarak Elastik’in güvenlik çözümlerini atlatabilir.
- Uzak Kod Yürütme: Minimum algılama riski ile kod yürütme özellikleri kazanırlar.
- Kalıcılık: Savunmasız elastik bileşenle etkileşime giren özel bir çekirdek sürücüsü ekerek uzun vadeli erişim sağlarlar.
- Ayrıcalıklı hizmet reddi: Korumalı sistemleri kullanılamaz hale getirerek tekrarlanan sistem çökmelerini tetikleyebilirler.
.webp)
Kusur, sürücü içindeki belirli bir ofsette, “CS CS: InsertKernelfunction” talimatının kullanıcı tarafından kontrol edilen bir işaretçiyi düzenleyen bir kayıtla yürütüldüğü özel bir ofsette gerçekleşir. Bu işaretçi boş, serbest veya bozuk olduğunda, çekirdek rutini doğrulama olmadan çöker, bu da korkunç mavi ölüm ekranı (BSOD) ile sonuçlanır.
En önemlisi, bu savunmasız kod yolunun, derleme görevleri veya proses enjeksiyon denemeleri dahil olmak üzere normal sistem işlemleri sırasında tetiklenebileceğidir.
POC gerçek dünyadaki etkiyi gösterir
Ashes siber güvenlik, güvenlik açığının tekrarlanabilirliğini gerçekçi koşullar altında göstermek için özel yürütülebilir ve sürücü dosyalarını kullanarak kapsamlı bir kavram kanıtı geliştirdi.
Araştırma yükleyicileri EDR bypass’ı gerçekleştirir, özel bir sürücü yükler, sistem yeniden başlatmaları için kalıcılığı yapılandırır ve ardından hedef sistemi yeniden başlatır.
Eşlik eden özel sürücü, savunmasız elastik bileşenle etkileşime girerek güvenlik yazılımının kötü amaçlı yazılım benzeri davranışlar sergilemesine ve sonraki her önyüklemede sistemi çökertmesine neden olur.
Çıkarımlar teknik gösterinin çok ötesine uzanmaktadır. Elastik’in güvenlik çözümlerini yürüten her kuruluş, güvenilir savunmaları içinde potansiyel bir silahı etkili bir şekilde barındırır.
Rakipler, elastik ile korunan işletme uç noktalarını uzaktan devre dışı bırakmak için bu kusuru kullanabilir ve yaygın operasyonel bozulma yaratabilir.
Güvenlik açığı, imzalı çekirdek sürücülerine temel güveni zayıflatır ve güvenlik satıcısı hesap verebilirliği hakkında ciddi sorular ortaya çıkarır.
Açıklama zaman çizelgesi, güvenlik açığı yanıt süreçlerindeki boşluklarla ilgili vurgular. Ashes Siber Güvenlik, 2 Haziran 2024’te kusuru keşfetti ve 11 Haziran’da Hackerone aracılığıyla sorumlu açıklamaya teşebbüs etti.
Yeterli yanıt almadıktan sonra, 29 Temmuz’da Sıfır Gün Girişimi’ni (ZDI) denediler. Sonunda, 16 Ağustos’ta bağımsız kamu açıklamasıyla ilerlediler.
Etkilenen ürün, elastik-uç nokta-driver.sys sürüm 8.17.6, mevcut bir yama olmadan savunmasız kalır.
Sürücü, Elasticsearch, Inc.’den Microsoft Windows Donanım Uyumluluğu Yayıncı imzalarını taşıyarak güvenilir, imzalı bileşenlerin güvenlik yükümlülükleri olabileceğini vurguluyor.
EDR’yi güvenilir koruma çözümü olarak seçen Elasticsearch’in ücretli bir müşterisi olan Ashes Siber Güvenliği, araştırma ortamlarındaki meşru kullanıcı modu test işlemleri sırasında güvenlik açığını keşfetti.
Bulguları sert bir gerçekliğin altını çiziyor: Güvenlik yazılımı ev sahibi sistemine karşı silahlandırılabildiğinde, savunmacı ve saldırgan arasındaki çizgi tehlikeli bir şekilde bulanıklaşıyor.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Değer |
|---|---|
| Dosya adı | elastik-uç nokta-driver.sys |
| Sha-256 karma | A6B000E84CB68C5096C0FD73AF9CEF2372ABD591EC973A969F58A81CF111337 |
AWS Security Services: 10-Point Executive Checklist - Download for Free