“Saçma bir güvenlik açığı açıklama süreci” olarak adlandırdığı sürecin ardından bir güvenlik şirketi, bir CrowdStrike ürünüyle ilgili bir sorunun ayrıntılarını açıkladı. Açıklamanın ardından CrowdStrike birkaç şeye açıklık getirdi.
CrowdStrike’ın Falcon uç nokta algılama ve yanıt aracıyla ilgili bir kusur, İsviçre güvenlik firması Modzero’daki araştırmacılar tarafından ortaya çıkarıldı. Özellikle, her uç cihaza yüklenen hafif bir aracı olan Falcon Sensor sorundur. Sensör için kaldırma koruması, benzersiz bir belirteç olmadan çıkarılmasını önleyecek şekilde yapılandırılabilir.
Modzero, yönetici haklarına sahip bir saldırganın, Windows cihazlarda belirteç kontrolünü devre dışı bırakabildiğini ve CrowdStrike ürününün sunduğu güvenliği devre dışı bırakmak amacıyla sensörü kaldırabildiğini buldu.
Sömürü için gereken yükseltilmiş ayrıcalıklar nedeniyle şirket, “güvenlik açığının genel riskinin nispeten sınırlı olduğunu” kabul etti, ancak yine de sorunu açıklayan teknik bir tavsiyeye ek olarak bir blog gönderisinde ifşa süreci hakkında şikayette bulunmaya karar verdi.
Açıklama süreci Modzero için zordu çünkü bulgularını CrowdStrike’ın HackerOne hata ödül programı aracılığıyla göndermek istemiyordu.
Haziran ayının başlarında Modzero, CrowdStrike’tan, HackerOne ile çalışmayı veya bir ifşa etmeme anlaşmasını kabul etmeyi gerektirmeyen, sonuçlarını raporlamanın farklı bir yöntemi hakkında bilgi talep etmeye başladı.
Sonunda, Modzero bulgularını Haziran ayı sonlarında CrowdStrike’a e-postayla gönderdi, ancak şirket ilk başta sorunu tekrarlayamadı ve daha sonra bunun meşru bir güvenlik açığı gibi görünmediğini belirtti.
Satıcı, Modzero’nun bulgularını daha sonra CrowdStrike Falcon’un daha yeni bir sürümü üzerinde test ettiğinde keşfettiği, Modzero’nun kavram kanıtı (PoC) güvenlik açığını kötü amaçlı olarak belirlemek de dahil olmak üzere, istismarı önlemek için bazı önlemler almıştı.
“Falcon, Microsoft Installer (MSI) kablo demeti kullanılarak Windows sistemlerine kurulur ve kaldırılır. Bir yükleme veya kaldırma işlemi sırasında sistem kontrolleri yapmak veya bu durumda bir kaldırma belirtecini doğrulamak gibi ikincil eylemler gerçekleştirmek için Microsoft, msiexec.exe aracılığıyla Özel Eylemler (CA) kullanılmasını önerir.
Falcon’un kaldırılması sırasında, msiexec.exe’nin birkaç örneği paralel olarak çeşitli görevleri gerçekleştirerek çalışır. Bu görevlerden biri, Falcon için geçerli bir kaldırma belirtecinin varlığını doğrulamak için özel bir eylem (CA) kullanır. Normal koşullar altında, bu doğrulama başarısız olursa veya tamamlanamazsa, MSI mantığı kaldırma işlemini durdurur ve kullanıcıya geçerli bir kaldırma belirtecinin gerekli olduğunu bildirir.
Modzero tarafından açıklandığı gibi, yerel bir yönetici bunu Microsoft’un MSI uygulamasında atlatabilir; burada msiexec.exe, bir CA geri dönmeden sonlandırılırsa (örneğin, bu işlem çöktüğünde veya kasıtlı olarak öldürüldüğünde) bir kaldırma işlemine devam eder. Özünde, MSI kapalı (beklenen) yerine başarısız oluyor (beklenmedik).”