Nuevo Ataque “Bring Your Own Installer” Explota Configuraciones Incorrectas en SentinelOne EDR
Investigadores de la firma de respuesta a incidentes Stroz Friedberg, propiedad de Aon, han identificado un nuevo tipo de ataque cibernético denominado “Bring Your Own Installer” (BYOI). Esta técnica explota configuraciones incorrectas en implementaciones del sistema de detección y respuesta de endpoint (EDR) de SentinelOne, permitiendo a los atacantes evadir las protecciones tradicionales.
Mecánica del Ataque BYOI
El ataque BYOI aprovecha instalaciones mal configuradas de SentinelOne EDR, específicamente cuando las organizaciones no aplican políticas estrictas durante el despliegue del agente. Los atacantes utilizan instaladores personalizados para:
- Modificar parámetros de registro del sistema operativo.
- Deshabilitar temporalmente funciones críticas del EDR.
- Inyectar código malicioso durante el proceso de instalación legítimo.
Este método es particularmente efectivo porque muchos sistemas EDR, incluyendo versiones anteriores de SentinelOne, confían en los procesos de instalación firmados digitalmente y no monitorean exhaustivamente las modificaciones realizadas durante esta fase.
Implicaciones Técnicas y Riesgos
El vector BYOI representa un riesgo significativo porque:
- Evita la detección por firmas tradicionales al utilizar instaladores legítimos como vector inicial.
- Permite la ejecución de código con privilegios elevados durante la fase de instalación.
- Puede persistir en el sistema incluso después de que el EDR esté completamente operativo.
Los investigadores destacan que este ataque es especialmente preocupante en entornos donde los equipos de TI permiten instalaciones locales sin supervisión o donde existen múltiples administradores con capacidad para modificar configuraciones del EDR.
Recomendaciones de Mitigación
Para contrarrestar este tipo de ataques, se recomienda:
- Implementar políticas estrictas de control de instalación de software.
- Configurar SentinelOne para monitorear activamente el proceso de instalación de su propio agente.
- Utilizar controles de integridad de archivos para detectar modificaciones no autorizadas durante la instalación.
- Actualizar a las versiones más recientes de SentinelOne EDR que incluyen protecciones específicas contra este vector.
Además, los equipos de seguridad deben considerar la implementación de controles adicionales como:
- Listas blancas de aplicaciones.
- Soluciones de prevención de pérdida de datos (DLP).
- Monitoreo continuo de cambios en registros críticos.
Perspectivas Futuras
Este descubrimiento resalta la necesidad constante de revisar las configuraciones de seguridad, incluso para herramientas diseñadas específicamente para proteger los endpoints. Los investigadores advierten que técnicas similares podrían adaptarse para atacar otros productos EDR si no se implementan las debidas configuraciones de seguridad.
La industria de ciberseguridad deberá desarrollar mecanismos más robustos para verificar la integridad de los procesos de instalación, especialmente para soluciones críticas como los sistemas EDR. Esto podría incluir verificaciones en tiempo real durante todas las fases de instalación y actualización del software.
Para más detalles técnicos sobre esta investigación, consulta la Fuente original.
