エンタープライズ検索およびセキュリティ企業のElasticは、自社のDefendエンドポイント検知および対応(EDR)製品に影響を与えるゼロデイ脆弱性の報告を否定しています。
同社の声明は、AshES Cybersecurityという企業がElastic Defendにおいて攻撃者がEDRの保護を回避できるリモートコード実行(RCE)の脆弱性を発見したと主張するブログ投稿を受けたものです。
Elasticのセキュリティエンジニアリングチームは「徹底的な調査を実施した」が、「EDRの監視を回避しリモートコード実行を可能にする脆弱性の主張を裏付ける証拠は見つからなかった」としています。
ゼロデイの主張
AshES Cybersecurityの8月16日のレポートによると、Elastic Defenderのカーネルドライバー「elastic-endpoint-driver.sys」におけるNULLポインタ参照の脆弱性が、EDR監視の回避、可視性の低いリモートコード実行、システム上での永続化の確立に悪用される可能性があるとしています。
「概念実証のデモンストレーションとして、カスタムドライバーを使用して管理された条件下で確実にこの脆弱性を引き起こしました」とAshES Cybersecurityの研究者は述べています。
発見の正当性を示すため、同社は2本の動画を公開しました。1本はElasticのドライバーの失敗によりWindowsがクラッシュする様子、もう1本はElasticのDefend EDRが対応しないままcalc.exeが起動するという、疑わしいエクスプロイトの様子を示しています。
「Elasticドライバーのゼロデイは単なる安定性のバグではありません。実際の環境内で攻撃者が悪用できる完全な攻撃チェーンを可能にします」と研究者は主張しています。
Elasticの否定
AshES Cybersecurityの主張と報告を評価した結果、Elasticは脆弱性およびその影響を再現することができませんでした。
さらに、ElasticはAshES Cybersecurityから受け取った複数のゼロデイバグに関する報告についても、「再現可能なエクスプロイトの証拠が欠如していた」と述べています。
「Elasticのセキュリティエンジニアリングおよびバグバウンティトリアージチームは、これらの報告を再現しようと徹底的な分析を行いましたが、再現できませんでした。研究者は再現可能な概念実証の共有が求められますが、これを拒否されました」 – Elastic
AshES Cybersecurityは、Elasticまたは同社の関係者にPoCを送付しないことを認めています。
Elasticは、研究者が脆弱性の詳細を共有せず、協調的な情報公開の原則に従うのではなく主張を公表することを選択したと述べています。
Elasticは、すべてのセキュリティ報告を真剣に受け止めており、2017年以降、同社のバグバウンティプログラムを通じて研究者に60万ドル以上を支払ってきたことを改めて強調しました。
