Un reciente ataque observado por los Servicios de Respuesta a Incidentes de Stroz Friedberg de Aon ha revelado un método utilizado por ciberdelincuentes para eludir los sistemas de Detección y Respuesta de Endpoint (EDR) de SentinelOne. Este ataque aprovecha una vulnerabilidad en el proceso de actualización y reversión de versiones del agente, lo que permite al atacante eludir la protección anti-tamper de SentinelOne y dejar el endpoint desprotegido.
Cómo se desarrolló el ataque:
El atacante consiguió acceso administrativo local a un servidor de acceso público explotando una vulnerabilidad CVE (Exposición Común de Vulnerabilidad) en una aplicación que se ejecutaba en el sistema. Una vez dentro, manipuló las versiones del agente de SentinelOne al cambiar rápidamente entre diferentes versiones legítimas del instalador, eludiendo así las protecciones del sistema EDR.
Las principales evidencias forenses recogidas durante el análisis mostraron:
- Se utilizaron múltiples versiones del instalador, incluyendo SentinelOneInstaller_windows_64bit_v23_4_4_223.exe y SentinelInstaller_windows_64bit_v23_4_6_347.msi.
- Los registros de eventos mostraron cambios inusuales de versión del producto:
- EventID 1 mostró varios cambios entre las versiones 23.4.4.223 y 23.4.6.347 en un periodo de aproximadamente 10 minutos.
- EventID 93 registró el comando unload, que típicamente indica que se ha desactivado la protección.
- Otros registros, como EventID 1042, indicaron la instalación del nuevo instalador de SentinelOne, lo que confirma la manipulación de las versiones para eludir la seguridad.
No se observaron drivers maliciosos:
Es importante destacar que no se utilizaron drivers maliciosos ni drivers vulnerables conocidos en este ataque, lo que sugiere que el atacante se basó únicamente en la explotación del proceso de versión del agente.
Mitigación y respuesta:
En respuesta a este ataque, SentinelOne ha emitido pasos de mitigación a sus clientes y ha colaborado con Stroz Friedberg para notificar a otros proveedores de EDR sobre este método de elusión. Se insta a los clientes de SentinelOne a revisar la guía de remediación proporcionada para asegurarse de que están protegidos contra esta vulnerabilidad específica.
El análisis forense confirmó que el entorno afectado no tenía habilitada la autorización en línea para actualizaciones o reversión de versiones en el momento del incidente. Esta falta de autorización probablemente permitió que el atacante manipulara las versiones del agente de forma libre.
Conclusión:
Este incidente destaca la importancia de configurar correctamente los sistemas EDR, especialmente en lo que respecta al control del proceso de actualización y reversión de versiones de los agentes de seguridad. Se recomienda que las empresas implementen medidas adicionales para evitar cambios no autorizados en sus agentes de seguridad y activen capas de protección adicionales cuando sea posible.
Más información.
Fuente: https://www.aon.com
