Neue Angriffsmethode umgeht SentinelOne EDR-Schutz

MÜNCHEN (IT BOLTWISE) – In der Welt der Cybersicherheit gibt es keine absolute Sicherheit, wie ein neuer Bericht von Aon’s Stroz Friedberg Incident Response Services zeigt. Forscher haben eine neue Technik entdeckt, mit der Angreifer die Endpoint Detection and Response (EDR) Lösung von SentinelOne umgehen können.

Die Sicherheitslösungen für Endpunkte, bekannt als Endpoint Detection and Response (EDR), sind in vielen Unternehmen ein unverzichtbarer Bestandteil der Cybersicherheitsstrategie. Dennoch sind sie nicht unfehlbar. Jüngste Forschungen von Aon’s Stroz Friedberg Incident Response Services haben eine neue Methode aufgedeckt, mit der Angreifer die EDR-Lösung von SentinelOne umgehen können, eine der am häufigsten eingesetzten EDRs.

Diese Methode, bekannt als ‘Bring Your Own Installer’, nutzt eine Schwachstelle im Upgrade-/Downgrade-Prozess des SentinelOne-Agenten aus, um die Anti-Tamper-Funktion zu umgehen und so einen ungeschützten Endpunkt zu schaffen. Die Forscher beobachteten, wie ein Angreifer diese Technik nutzte, um lokalen Administratorzugriff zu erlangen, die EDR-Schutzmaßnahmen zu umgehen und eine Variante der Babuk-Ransomware auszuführen.

In Reaktion auf den Bericht hat SentinelOne seinen Kunden Schritte zur Minderung des Risikos bereitgestellt. Die Forscher von Stroz Friedberg betonten jedoch, dass ihnen keine EDR-Anbieter bekannt sind, die von diesem Angriff betroffen sind, wenn ihre Produkte korrekt konfiguriert sind.

Wie viele andere EDRs verfügt auch die Lösung von SentinelOne über einen Anti-Tamper-Schutz, der unbefugte Benutzer daran hindert, Schutzmaßnahmen zu deaktivieren und Malware daran hindert, EDR-Prozesse einfach zu beenden. Diese Funktion erfordert eine administrative Aktion in der SentinelOne-Verwaltungskonsole oder einen eindeutigen Code, um einen Agenten aus dem Schutz von SentinelOne zu entfernen.

Die Forscher von Stroz Friedberg identifizierten jedoch einen Angreifer, der eine Schwachstelle in einer Anwendung auf einem öffentlich zugänglichen Server ausnutzte, um lokalen Administratorzugriff auf ein Host-Gerät zu erlangen, auf dem die EDR von SentinelOne lief. Während der forensischen Analyse des Systems beobachteten die Forscher mehrere Indikatoren für einen EDR-Bypass, darunter die Erstellung mehrerer Versionen legitimer signierter SentinelOne-Installationsdateien und zusätzliche Ereignisprotokolle, die mit Produktversionsänderungen verbunden sind.

Basierend auf diesen Erkenntnissen führten die Forscher von Stroz Friedberg ein Experiment durch, um eine potenzielle Schwachstelle in der EDR-Software von SentinelOne zu replizieren. Sie verwendeten eine Windows 2022 Server-VM mit der SentinelOne EDR-Softwareversion 23.4.6.223. Während des Experiments initiierten sie ein Upgrade/Downgrade des SentinelOne-Agenten unter Verwendung der MSI Windows-Installationsdatei.

Der Upgrade-/Downgrade-Prozess beinhaltete das Beenden aller bestehenden SentinelOne-Prozesse etwa 55 Sekunden, bevor neue Prozesse für die aktualisierte Version gestartet wurden. Diese temporäre Lücke nutzten die Forscher aus, indem sie den mit dem Upgrade/Downgrade verbundenen msiexec.exe-Prozess mit einem Taskkill-Befehl und lokalen Administratorrechten beendeten.

Infolgedessen blieb das System ohne SentinelOne-Schutz, und der Host ging anschließend in der SentinelOne-Verwaltungskonsole offline. Die Forscher meldeten ihre Ergebnisse an SentinelOne, das schnell reagierte und seinen Kunden Anleitungen zur Minderung des Problems zur Verfügung stellte. Dazu gehören die Verwendung des lokalen Agenten-Passworts von SentinelOne, um unbefugte Agenten-Deinstallationen zu verhindern, und die lokale Upgrade-Autorisierungsfunktion, um sicherzustellen, dass Upgrades über die SentinelOne-Konsole authentifiziert werden.

Seit der Veröffentlichung des Berichts von Aon hat SentinelOne einen Beitrag veröffentlicht, der einige zusätzliche Schritte zeigt, die der Softwareanbieter unternommen hat, um diese Bedrohung zu mindern. Beispielsweise wird die lokale Update-Autorisierungsfunktion jetzt standardmäßig für alle neuen Kunden aktiviert, um ihnen eine zusätzliche Sicherheitsebene zu bieten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!