Güvenlik araştırmacıları ‘saçma’ CrowdStrike hata açıklama uygulamalarını patlattı


Charlie Osborne 23 Ağustos 2022, 13:57 UTC

Güncelleme: 23 Ağustos 2022, 14:01 UTC

Güvenlik açığı dikkate değer olmayabilir, ancak raporlama süreci önemli olabilir.

Güvenlik araştırmacıları 'saçma' CrowdStrike hata açıklama uygulamalarını patlattı

Bir güvenlik firması, CrowdStrike’ı bir sensör hatası raporunun ardından “saçma” bir hata ödül açıklama programı yürüttüğü için eleştirdi.

Nisan ayında, İsviçre güvenlik analisti hizmeti Modzero AG’nin bir ortağı olan Pascal Zenker, verileri Falcon uç nokta güvenlik platformuna iletmek için kullanılan aracı yazılımı olan CrowdStrike Falcon Sensor’da bir güvenlik açığı keşfetti.

CVE-2022-2841 olarak izlenen güvenlik açığı, saldırganların Windows cihazlarındaki sensörleri kaldırmak için kullanılan tek seferlik oluşturulan belirteç denetimini istismar etmesine ve atlamasına izin verdi, böylece güvenlik olayı veri akışlarını kesti ve potansiyel olarak makineyi kötü amaçlı yazılımlar tarafından daha fazla tehlikeye atılmaya karşı savunmasız bıraktı. .

Ekip, Falcon 6.31.14505.0 ve 6.42.15610 sürümlerinde sensörü bozmak ve belirteç kontrolünü yok saymak için otomatik bir kavram kanıtı (PoC) aracı oluşturdu.

Ancak, saldırganın bu güvenlik atlamasını gerçekleştirmek için zaten yönetici ayrıcalıklarına ihtiyacı vardı ve bu, potansiyel olarak yüksek riskli güvenlik açığını düşük önem düzeyine sahip bir soruna havale etti.

Gıda böcek diyor “Genel güvenlik açığı riski çok sınırlı” olduğu için “bir tweete değmez”, ancak CrowdStrike’ın iddia edilen yanıtı yorumlanmaya değerdi.

Şirket, “CrowdStrike ile gülünç bir güvenlik açığı açıklama sürecine biraz ışık tutmak istiyoruz” diye tweet attı.

Üçüncü taraf programı

22 Ağustos Pazartesi günü yayınlanan bir güvenlik tavsiyesine göre Modzero, Nasdaq listesindeki BT firmasından temiz bir güvenlik açığı açıklama süreci bekliyordu. Ancak Modzero, “CrowdStrike ile iletişim ve açıklama sıkıcıydı ve sonunda profesyonellikten uzaktı” diyor.

CrowdStrike, HackerOne aracılığıyla bir hata ödül programı yürütür. CrowdStrike’ın Modzero’nun güvenlik açığını program aracılığıyla göndermesini istediği ortaya çıktı. Yine de şirket, karşılıklı bir gizlilik anlaşması imzalamayı içerdiği söylenen programın şartlarını kabul etmek istemedi.

Modzero, HackerOne dışında doğrudan bir güvenlik kontağı talep ettiğini ve aylarca e-postaların ardından şirketin bir PoC ile birlikte Haziran ayı sonlarında bir güvenlik tavsiyesi taslağı sunduğunu söyledi.

En son hata ödül haberlerinin devamını okuyun

CrowdStrike, daha yeni yazılım sürümlerinde hata çoğaltmanın mümkün olmadığını söyledi. Modzero, reddedildiği iddia edilen en son yazılımın deneme sürümünü istedi.

Modzero, “Sorun geçerli sayılmadığı için CrowdStrike’a tavsiyeyi kamuoyuna açıklayacağımızı bildirdik” dedi.

Yanıt olarak, CrowdStrike tekrar ‘Modzero’nun sr Liderliği ve CrowdStrike CISO’su arasında bir hata ödül ifşa toplantısı düzenlemeye çalıştı. […] tartışmak [the] Daha önce belirtilen ifşa kurallarımızın aksine, hata ödülü ifşasıyla ilgili sonraki adımlar. ”

Modzero, daha sonra yazılımın yeni bir sürümünü edindiğini ve güvenlik açığının hala var olduğunu doğruladığını söyledi. Ancak, istismar kodu kötü amaçlı olarak işaretlenmişti – bu, istismar kodunda ince ayar yaparak kolayca düzeltilen bir değişiklik olduğu iddia ediliyordu.

Danışmanlık yayınlandı

Modzero o zamandan beri güvenlik danışmanlığını yayınladı ve siber güvenlik firmasını “NDA tarafından yönetilen hata ödül programı” dışında esnek olmadığı için eleştirdi.

“[We concluded] CrowdStrike’ın sorunun var olmadığı söylenirken sorunu ‘düzeltmeye’ çalıştığını söyledi. Bu bizim için oldukça saygısızlık, ”dedi Modzero.

Yorum için yaklaşıldığında, CrowdStrike bizi 22 Ağustos Pazartesi günü Reddit’te yayınlanan ve Modzero’nun tavsiyesine bağlanan bir açıklamaya yönlendirdi.

Siber güvenlik firması, asıl sorunun Microsoft Installer (MSI) kablo demetindeki bir arıza açık durumu olduğunu ve sorunun ilgili taraflara bildirildiğini söylüyor.

Şirkete göre, bunu kontrol etmek için MSI çerçevesinden uzaklaşmak gerekecek. Güvenlik açığından yalnızca özel yazılım, yerel yönetici erişimi, ayrıcalık yükseltme ve uç nokta yeniden başlatma ile yararlanılabilir.

CrowdStrike, Temmuz ayında müşterileri bilgilendirdi.

CrowdStrike, “Bu tekniği ve benzerlerini tespit etmeye çalışmak için sensöre algılama mantığı da eklendi” diye ekledi. “Modzero’ya sıkı çalışmaları ve bu olayı açıklamaları için teşekkür ediyoruz.”

Günlük Swig Modzero’ya ek sorgularla ulaştı ve geri döndüğümüzde güncelleyeceğiz.

ÖNERİLEN Kritik yukarı akış yazılımlarının korunmasına yardımcı olmak için Güvenli Açık Kaynak Ödülleri programı başlatıldı





Source link