Ashes siber güvenlik araştırmalarına göre, elastikin uç nokta algılama ve yanıtı (EDR) çözümü’nde yeni keşfedilen sıfır günlük güvenlik açığı, saldırganların güvenlik önlemlerini atlamasına, kötü niyetli kodun yürütülmesine ve bir BSOD sistem çökmesini tetiklemelerine olanak tanır.
Güvenlik açığı, güvenlik yazılımının temel bir bileşeninde bulunur ve savunma aracını etkili bir şekilde koruması amaçlanan sistemlere karşı bir silaha dönüştürür.
Kritik kusur, Microsoft tarafından imzalanan ve Elasticsearch, Inc. tarafından geliştirilen bir çekirdek sürücüsü olan “Elastik-Endpoint-Driver.sys” de bulundu. Bu sürücü, Elastik Defend ve Elastik Ajan Güvenlik Çözümlerinin temel bir parçasıdır.
Güvenlik açığını keşfeden araştırmacı, tam bir sistem uzlaşması elde etmek için bu kusurdan yararlanan dört aşamalı bir saldırı zincirini detaylandırdı.
Saldırı, bir saldırganın Elastik’in güvenlik korumalarını atlatmak için özel bir yükleyici kullanabileceği bir EDR bypass ile başlar. EDR kör edildikten sonra, saldırgan, tespit edilmeden veya engellenmeden sistemde kötü amaçlı kod çalıştırarak uzaktan kod yürütmeye (RCE) geçebilir.
Üçüncü adım, savunmasız elastik sürücü ile etkileşime girebilecek özel bir çekirdek sürücüsü ekerek kalıcılığın oluşturulmasını içerir. Son olarak, saldırgan ayrıcalıklı bir kalıcı hizmet reddi tetikleyebilir ve sistemin tekrar tekrar çökmesine ve kullanılamaz hale getirmesine neden olabilir.
Elastik EDR 0 günlük güvenlik açığı
Güvenlik açığının merkezinde bir CWE-476: NULL POINTER DEERENERICE bulunur. Ashes siber güvenlik araştırmasına göre, “elastik-uç nokta-sürücü.
Belirli koşullar altında, kullanıcı-modundan kontrol edilebilir bir işaretçi, doğru doğrulama olmadan bir çekirdek işlevine aktarılır. Bu işaretçi null ise, serbest bırakılmışsa veya bozulmuşsa, çekirdek onu hakem etmeye çalışır ve genellikle Mavi Ölüm Ekranı (BSOD) olarak bilinen sistem çapında bir çökmeye yol açar.
Araştırmacı, bu güvenlik açığının sadece teorik bir hata değil, güvenilir ve tekrarlanabilir bir sömürü olduğunu gösterdi. Kontrollü koşullar altında kusuru tetiklemek için C tabanlı bir yükleyici ve özel bir sürücüden oluşan özel olarak inşa edilmiş bir konsept kanıtı kullanıldı.
Bu kavram kanıtı önce EDR’yi atlar, özel sürücüyü yükler, kalıcılık oluşturur, böylece sürücünün yeniden başlatılmasında yeniden yüklenmesi ve daha sonra BSOD’a neden olmak için savunmasız elastik sürücü ile etkileşime girmesi.
Bu, elastik sürücünün kendisinin kötü amaçlı yazılım benzeri davranışlar sergilemek için manipüle edilebileceğini etkili bir şekilde kanıtlar.
Bu sıfır günün etkileri, Elastik’in güvenlik ürünlerine dayanan işletmeler için şiddetlidir. Elastik SIEM ve EDR çözümlerini kullanan her kuruluş, son noktalarını ölçekte devre dışı bırakmak için uzaktan sömürülebilen bir güvenlik açığı barındırıyor olabilir.
Bu durum önemli bir risk yaratır, çünkü güvenilir, imzalı bir çekirdek sürücüsü kalıcı, ayrıcalıklı bir silah haline getirilebilir.
Bu güvenlik açığı için keşif zaman çizelgesi 2 Haziran 2025’te başladı. Açıklama girişimleri 11 Haziran’da Hackerone ve 29 Temmuz’da Sıfır Gün Girişimi (ZDI) ile yapıldı. Bu girişimlerin ardından 16 Ağustos 2025’te bağımsız bir açıklama yapıldı.
Etkilenen ürün elastic-endpoint-driver.sys 8.17.6 sürümünde, hiçbir yama yayınlanmadığı için sonraki tüm sürümlerin savunmasız olduğuna inanılmaktadır.
Araştırmacı, güvenlik açığının kullanıcı modu test işlemleri sırasında keşfedildiğini ve kuruluşlarının Ashes Cybersecurity Pvt Ltd. Araştırmacı, “Komut üzerindeki kendi sistemini çöker, körleştiren veya devre dışı bırakan bir savunucu, kötü amaçlı yazılımlardan ayırt edilemez” dedi. Bir yama verilinceye kadar, müşteriler bu aktif sıfır gün tehdidine maruz kalırlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.