A empresa de busca e segurança empresarial Elastic está rejeitando relatórios de uma vulnerabilidade zero-day afetando seu produto Elastic Defend, uma solução de detecção e resposta em endpoints (EDR).
A declaração da empresa segue uma postagem de blog de uma empresa chamada AshES Cybersecurity, que afirmou ter descoberto uma falha de execução remota de código (RCE) no Elastic Defend que permitiria a um atacante contornar as proteções do EDR.
A equipe de Engenharia de Segurança da Elastic "conduziu uma investigação minuciosa", mas não conseguiu encontrar "evidências que sustentassem as alegações de uma vulnerabilidade que contorna a monitoração EDR e possibilita a execução remota de código."
De acordo com o relato da AshES Cybersecurity de 16 de agosto, uma falha de desreferência de ponteiro NULL no driver do kernel do Elastic Defender, ‘elastic-endendpoint-driver.sys’, poderia ser armada para contornar a monitoração do EDR, habilitar a execução remota de código com visibilidade reduzida e estabelecer persistência no sistema.
"Para a demonstração de prova de conceito, usei um driver customizado para acionar a falha sob condições controladas de forma confiável," diz o pesquisador da AshES Cybersecurity.
Para mostrar a validade do achado, a empresa publicou dois vídeos, um mostrando o Windows travando devido à falha do driver da Elastic, e outro mostrando o suposto exploit iniciando o calc.exe sem que o EDR Defend da Elastic tomasse qualquer ação.
“O zero-day do driver da Elastic não é apenas um bug de estabilidade.
Ele possibilita uma cadeia completa de ataque que adversários podem explorar em ambientes reais,” afirma o pesquisador.
Após avaliar as reivindicações e relatórios da AshES Cybersecurity, a Elastic não conseguiu reproduzir a vulnerabilidade e seus efeitos.
Além disso, a Elastic diz que os múltiplos relatórios que recebeu da AshES Cybersecurity sobre o suposto bug zero-day "careciam de evidências de exploits reproduzíveis."
A AshES Cybersecurity confirmou que optou por não enviar o PoC para a Elastic ou afiliadas da empresa.
A Elastic diz que o pesquisador não compartilhou os detalhes completos da vulnerabilidade, e em vez disso, decidiu tornar suas alegações públicas ao invés de seguir os princípios de divulgação coordenada.
A Elastic reafirmou que leva todos os relatórios de segurança a sério e, desde 2017, pagou mais de $600.000 a pesquisadores através do programa de bug bounty da empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...