تکذیب آسیب‌پذیری Zero-Day در Defend EDR از سوی Elastic

سجاد تیموری 6 روز پیشآخرین بروزرسانی: مرداد ۲۹, ۱۴۰۴

۰ 5 زمان تقریبی مطالعه 2 دقیقه

تکذیب آسیب‌پذیری Zero-Day در Defend EDR از سوی Elastic

شرکت Elastic که در حوزه جستجوی سازمانی و امنیت فعالیت دارد، گزارش‌ها درباره وجود یک آسیب‌پذیری zero-day در محصول Defend Endpoint Detection and Response (EDR) را رد کرده است.

این موضع‌گیری پس از انتشار یک پست وبلاگی از سوی شرکت AshES Cybersecurity صورت گرفت؛ شرکتی که ادعا کرده بود یک نقص Remote Code Execution (RCE) در Elastic Defend کشف کرده است که به مهاجم اجازه می‌دهد از سد حفاظت‌های EDR عبور کند.

به گفته‌ی تیم Security Engineering در Elastic، آن‌ها «یک بررسی کامل و دقیق انجام داده‌اند» اما هیچ «مدرکی مبنی بر وجود آسیب‌پذیری که منجر به دور زدن نظارت EDR و اجرای کد از راه دور شود» پیدا نکرده‌اند.

ادعای وجود Zero-Day

بر اساس گزارش منتشرشده توسط AshES Cybersecurity در تاریخ ۱۶ آگوست، یک نقص NULL pointer dereference در درایور کرنل Elastic Defender با نام elastic-endpoint-driver.sys می‌تواند مورد بهره‌برداری قرار گیرد تا نظارت EDR دور زده شود، امکان اجرای کد از راه دور با دید محدود فراهم شود و ماندگاری (persistence) در سیستم برقرار گردد.

این شرکت امنیتی اعلام کرد که برای نمایش اثبات مفهومی (PoC)، از یک درایور سفارشی برای تحریک این نقص تحت شرایط کنترل‌شده استفاده کرده است. آن‌ها همچنین دو ویدئو منتشر کردند: یکی نشان‌دهنده‌ی کرش کردن ویندوز به دلیل خطای درایور Elastic، و دیگری نمایش اجرای موفق calc.exe بدون واکنش EDR.

محقق AshES در این باره گفت:
«آسیب‌پذیری zero-day در درایور Elastic تنها یک باگ پایداری نیست؛ بلکه یک زنجیره حمله کامل را فعال می‌کند که مهاجمان می‌توانند در محیط‌های واقعی از آن سوءاستفاده کنند.»

پاسخ Elastic

Elastic پس از بررسی ادعاها و گزارش‌های AshES Cybersecurity نتوانست آسیب‌پذیری و تأثیرات آن را بازتولید کند.

این شرکت اعلام کرد گزارش‌های متعددی که از سوی AshES برای این آسیب‌پذیری ادعایی ارسال شد، «فاقد شواهد قابل بازتولید برای اکسپلویت» بودند.

Elastic افزود:
«تیم Security Engineering و تیم triage برنامه باگ بانتی ما یک تحلیل جامع برای بازتولید این گزارش‌ها انجام دادند اما موفق به انجام آن نشدند. محققان ملزم به ارائه اثبات مفهومی قابل بازتولید هستند؛ با این حال، آن‌ها از انجام این کار خودداری کردند.»

شرکت AshES Cybersecurity تأیید کرد که تصمیم گرفته PoC را برای Elastic یا شرکای آن ارسال نکند.

به گفته Elastic، محقق جزئیات کامل آسیب‌پذیری را ارائه نکرد و در عوض، تصمیم گرفت ادعاهای خود را به‌صورت عمومی منتشر کند؛ اقدامی که بر خلاف اصول coordinated disclosure است.

Elastic مجدداً تأکید کرد که تمامی گزارش‌های امنیتی را جدی می‌گیرد و از سال ۲۰۱۷ تاکنون بیش از ۶۰۰,۰۰۰ دلار به پژوهشگران امنیتی از طریق برنامه bug bounty خود پرداخت کرده است.