Elasticは月曜日、自社のDefend EDR製品が「ゼロデイ脆弱性」の影響を受けているという主張を否定しました。
同社の反応は、Ashes Cybersecurityが8月16日に公開したブログ記事がきっかけとなりました。このブログでは、署名付きのElasticカーネルドライバーが特定の条件下でメモリ操作を誤処理し、システムクラッシュを引き起こす可能性があり、これを繰り返し発生させることができると主張しています。
「この脆弱性は、ユーザーモードで制御可能なポインタが適切な検証なしにカーネル関数に渡されるコードパスで発生します」とAshesは説明し、この問題がヌルポインタ参照につながると述べています。
「この脆弱なコードパスは、特定のコンパイルやプロセスインジェクションの試行など、通常のシステム活動中にも実行される可能性があります。ドライバーがメモリポインタを誤処理すると、カーネルレベルのクラッシュを強制的に引き起こすことができます」とAshesは述べています。
技術的な解説の中で、同社はElasticのEDRが独自のCベースのローダーを使ってシステム上で任意のコードを実行することで回避可能であると説明しています。
これにより、攻撃者はElasticのカーネルドライバーとやり取りできる独自のカスタムカーネルドライバーを設置し、正規のドライバーを悪意あるツールに変えるためにこの脆弱性を利用できるようになります。
「概念実証(PoC)として、私はカスタムドライバーを使用し、制御された条件下で確実にこの脆弱性を引き起こしました。これは、従来のマルウェアに依存せず、Elasticドライバー自体が問題のコードパスに到達すると悪意ある挙動を示すことを示しています」とAshesは指摘しています。
Ashesの投稿に対し、Elasticは、主張に関する調査の結果、Defend EDRの脆弱性によって検知回避やリモートコード実行(RCE)が発生する証拠は見つからなかったと述べています。
広告。スクロールして読み続けてください。
「研究者は、特権のないプロセスからElastic Endpointドライバーでクラッシュ/ブルースクリーン(BSOD)を引き起こせると主張していますが、彼らが提供した唯一のデモは、別のカーネルドライバーから実行されたものです」とElasticは指摘しています。
Elasticによると、研究者は回避やRCEの可能性に関する複数の報告を提出しましたが、これらの報告には証拠や再現可能なエクスプロイトは含まれていなかったとのことです。また、研究者はElasticのセキュリティチームが再現できる概念実証(PoC)エクスプロイトの提供を拒否したと付け加えています。
「詳細を共有せずに公開投稿を行うこのセキュリティ研究者の行動は、協調的開示の原則に反しています」とElasticは述べています。
Elasticの否定に対し、Ashesはユーザーモードクラッシュの証拠とされるものを追加して投稿を更新しましたが、Elasticはこれもすぐに否定しました。
「Elasticは8月19日にブログ投稿で共有された追加証拠を確認しました。以前の評価は変わりません。Elastic Defendのユーザーは対応の必要はありません」と同社は述べています。
関連記事: SonicWall、最近の攻撃はゼロデイ脆弱性を含まないと発表
関連記事: O2サービスの脆弱性でユーザーの位置情報が漏洩
翻訳元: https://www.securityweek.com/elastic-refutes-claims-of-zero-day-in-edr-product/