Vulnerabilidad de día cero en Elastic EDR permite a atacantes evadir detección, ejecutar malware y provocar pantallas azules.
Publicado enAmenazas

Vulnerabilidad de día cero en Elastic EDR permite a atacantes evadir detección, ejecutar malware y provocar pantallas azules.

No hay comentarios

Vulnerabilidad Crítica de Escalada de Privilegios en Elastic EDR

Introducción

Investigadores de seguridad de CyberArk han descubierto una vulnerabilidad de día cero en Elastic Security para Endpoints (EDR), la cual permite a un atacante con privilegios bajos escalar sus permisos a NT AUTHORITY\SYSTEM. Esta falla de seguridad, que afecta específicamente al agente de Windows de Elastic EDR, representa un riesgo significativo para la integridad y confidencialidad de los sistemas comprometidos, al permitir la ejecución de código arbitrario con los máximos privilegios.

Detalles Técnicos de la Vulnerabilidad

La vulnerabilidad reside en una configuración de permisos débil dentro del servicio del agente de Elastic EDR, específicamente en el ejecutable ElasticEndpoint.exe. Este servicio, fundamental para las operaciones de detección y respuesta en el endpoint, se instala con permisos que permiten a usuarios autenticados y con bajos privilegios modificar la ruta del binario asociado al servicio.

El mecanismo de explotación se basa en la manipulación de la entrada ImagePath del servicio en el registro de Windows. Dado que los permisos sobre la clave del servicio o el directorio del ejecutable son permisivos, un atacante puede:

  • Identificar el servicio Elastic Agent (ElasticEndpoint.exe) y su ruta de instalación.
  • Modificar la ruta del binario del servicio para apuntar a un ejecutable malicioso controlado por el atacante.
  • Una vez que el servicio se reinicia (ya sea por un reinicio del sistema, una acción administrativa o un fallo del servicio), el sistema operativo intenta ejecutar el binario especificado en la ruta modificada.
  • Dado que el servicio Elastic Agent se ejecuta con privilegios de NT AUTHORITY\SYSTEM, el ejecutable malicioso del atacante también se ejecutará con estos privilegios elevados, otorgando control total sobre el sistema.

Esta clase de vulnerabilidad es comúnmente conocida como “Weak Service Permissions” o “Unquoted Service Path” si la ruta del servicio no está entre comillas y contiene espacios, lo que permite la inyección de rutas. En este caso, la debilidad principal radica en los permisos de escritura sobre la configuración del servicio.

Impacto y Riesgos

La escalada de privilegios a NT AUTHORITY\SYSTEM es una de las vulnerabilidades más críticas en entornos Windows, ya que confiere al atacante control absoluto sobre el sistema. Las implicaciones incluyen:

  • Persistencia: Un atacante puede establecer mecanismos de persistencia indetectables, asegurando el acceso continuo al sistema incluso después de reinicios.
  • Evasión de Defensas: Con privilegios de sistema, el atacante puede deshabilitar o manipular software de seguridad, incluyendo el propio EDR, antivirus y firewalls.
  • Movimiento Lateral: El acceso a nivel de sistema facilita el movimiento lateral dentro de la red, permitiendo al atacante comprometer otros sistemas.
  • Exfiltración de Datos: Acceso sin restricciones a datos sensibles, credenciales y configuraciones del sistema.
  • Manipulación del Sistema: Capacidad para instalar software adicional, modificar configuraciones críticas del sistema o lanzar ataques de denegación de servicio.

Mitigación y Recomendaciones

Elastic ha abordado esta vulnerabilidad en la versión 8.11.1 de Elastic Security para Endpoints. La principal recomendación para los usuarios afectados es actualizar sus agentes de EDR a la versión parcheada lo antes posible.

Además de la actualización, se recomiendan las siguientes prácticas de seguridad:

  • Gestión de Parches: Mantener todos los sistemas y software actualizados con los últimos parches de seguridad.
  • Principio de Mínimo Privilegio: Asegurar que los usuarios y procesos operen con el mínimo conjunto de privilegios necesarios para realizar sus funciones.
  • Monitoreo de Integridad de Archivos: Implementar soluciones que monitoreen cambios no autorizados en archivos críticos del sistema y configuraciones de servicios.
  • Auditoría de Permisos: Realizar auditorías periódicas de los permisos de archivos y servicios para identificar configuraciones débiles.

Conclusión

La vulnerabilidad de escalada de privilegios en Elastic EDR subraya la importancia de una seguridad robusta en los componentes de seguridad críticos. Aunque los EDRs están diseñados para proteger los endpoints, una falla en su propia implementación puede convertirse en un vector de ataque significativo. La pronta divulgación y el lanzamiento de un parche por parte de Elastic demuestran un compromiso con la seguridad de sus usuarios. Es imperativo que las organizaciones prioricen la aplicación de este parche para mitigar el riesgo de compromiso y mantener la integridad de sus infraestructuras.

Para más información visita la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta