Uma nova técnica de bypass de EDR, chamada "Bring Your Own Installer", está sendo explorada em ataques para contornar a função de proteção contra adulteração da SentinelOne, permitindo aos atores de ameaças desativar agentes de endpoint detection and response (EDR) para instalar o ransomware Babuk.
Essa técnica explora uma brecha no processo de atualização do agente, permitindo aos atores de ameaças terminar agentes EDR em execução, deixando dispositivos desprotegidos.
O ataque foi descoberto por John Ailes e Tim Mashni da equipe de Incident Response da Stroz Friedberg da Aon durante um trabalho com um cliente que sofreu um ataque de ransomware no início deste ano.
A técnica não depende de ferramentas ou drivers de terceiros, como normalmente vemos em bypasses de EDR, mas, em vez disso, abusa do próprio instalador da SentinelOne.
A SentinelOne recomenda que os clientes ativem a configuração "Autorização Online", que está desativada por padrão, para mitigar esse ataque.
"Queremos divulgar para garantir que os clientes da SentinelOne saibam ativar a proteção de Atualização Local," John Ailes, Gerente da DFIR da Stroz Friedberg da Aon, disse para a imprensa.
"Investigamos ambientes com a SentinelOne desde que suas orientações foram enviadas aos clientes e vimos clientes que ainda não a ativaram. No final das contas, divulgar para mitigar esse bypass é a coisa mais importante.”
Os pesquisadores da Stroz Friedberg explicam que a SentinelOne protege seu agente de EDR com um recurso de proteção contra adulteração que exige uma ação manual no console de gerenciamento da SentinelOne ou um código único para remover um agente.
No entanto, como muitos outros instaladores de software, ao instalar uma versão diferente do agente, o instalador da SentinelOne termina quaisquer processos Windows associados logo antes de os arquivos existentes serem substituídos pela nova versão.
Atores de ameaças descobriram que poderiam explorar essa pequena janela de oportunidade executando um instalador legítimo da SentinelOne e, então, terminando forçosamente o processo de instalação depois que ele desliga os serviços do agente em execução, deixando dispositivos desprotegidos.
No início deste ano, a Stroz Friedberg foi contratada para investigar um ataque na rede de um cliente, com registros mostrando que os atacantes obtiveram acesso administrativo à rede do cliente por meio de uma vulnerabilidade.
Os atacantes então usaram esse novo bypass terminando o processo do Instalador do Windows da SentinelOne ("msiexec.exe") antes que ele pudesse instalar e lançar a nova versão do agente.
Com as proteções desativadas no dispositivo, os atores de ameaças puderam então implantar o ransomware.
Ailes disse que os atores de ameaças podem utilizar versões novas ou antigas do agente para conduzir esse ataque, portanto, mesmo que a versão mais recente esteja em execução nos dispositivos, eles ainda estão vulneráveis.
"A Stroz Friedberg também observou que o host ficou offline no console de gerenciamento da SentinelOne logo após o instalador ser terminado", alerta o relatório da Stroz Friedberg.
Testes adicionais mostraram que o ataque foi bem-sucedido em várias versões do agente da SentinelOne e não dependeu das versões específicas observadas neste incidente.
A Stroz Friedberg divulgou de forma responsável esse ataque à SentinelOne, que compartilhou privadamente as mitigações com os clientes em janeiro de 2025.
A mitigação é ativar o recurso "Autorização Online" nas configurações de Política da Sentinel que, quando ativado, exige aprovação do console de gerenciamento da SentinelOne antes que atualizações locais, rebaixamentos ou desinstalações do agente possam ocorrer.
A SentinelOne também compartilhou o aviso da Stroz Friedberg sobre essa nova técnica com todos os outros principais fornecedores de EDR, caso eles também fossem afetados.
A Palo Alto Networks confirmou à Stroz Friedberg que esse ataque não impactou seu software de EDR.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...