AshES Cybersecurity đã công bố một lỗ hổng zero-day nghiêm trọng trong phần mềm Elastic Endpoint Detection and Response (EDR). Lỗ hổng này biến công cụ bảo mật thành một vũ khí chống lại chính các hệ thống mà nó được thiết kế để bảo vệ.
Điểm yếu nằm trong driver kernel được ký bởi Microsoft, có tên “elastic-endpoint-driver.sys”. Nó cho phép kẻ tấn công vượt qua các biện pháp bảo mật, thực thi mã độc và liên tục gây treo hệ thống được bảo vệ.
Mặc dù đã có nhiều nỗ lực tiết lộ thông qua các kênh chính thức kể từ tháng 6 năm 2024, lỗ hổng vẫn chưa được vá. Điều này đã thúc đẩy AshES Cybersecurity công khai phát hiện của họ.
Phân tích Kỹ thuật Lỗ hổng Zero-day
Bản chất Lỗ hổng và Chi tiết Kỹ thuật
Lỗ hổng zero-day này ảnh hưởng đến driver kernel của Elastic thông qua một lỗi NULL pointer dereference (CWE-476). Lỗi xảy ra khi các con trỏ do người dùng kiểm soát được truyền vào các hàm kernel mà không có xác thực hợp lệ.
Theo phân tích kỹ thuật của AshES Cybersecurity, lỗ hổng này cho phép một chuỗi tấn công bốn bước có khả năng gây thiệt hại lớn.
Lỗi xuất hiện tại một offset cụ thể trong driver, nơi lệnh call cs:InsertKernelFunction được thực thi với một thanh ghi giải tham chiếu con trỏ do người dùng kiểm soát. Khi con trỏ này là NULL, đã được giải phóng (freed), hoặc bị hỏng, routine kernel sẽ bị treo mà không có xác thực, dẫn đến màn hình xanh chết chóc (Blue Screen of Death – BSOD).
Điều đáng lo ngại nhất là đường dẫn mã dễ bị tổn thương này có thể được kích hoạt trong các hoạt động hệ thống bình thường, bao gồm các tác vụ biên dịch hoặc các nỗ lực inject process.
Chuỗi Tấn công và Khai thác
AshES Cybersecurity đã phát triển một bản chứng minh khái niệm (Proof-of-Concept – PoC) toàn diện sử dụng các file thực thi và driver tùy chỉnh để chứng minh khả năng tái tạo lỗ hổng trong các điều kiện thực tế.
Loader nghiên cứu của họ thực hiện việc bypass EDR, tải một driver tùy chỉnh, cấu hình persistence cho các lần khởi động lại hệ thống, và sau đó khởi động lại hệ thống mục tiêu. Driver tùy chỉnh đi kèm tương tác với thành phần Elastic dễ bị tổn thương, khiến phần mềm bảo mật thể hiện hành vi giống như mã độc và gây treo hệ thống trong mỗi lần khởi động tiếp theo.
Tác động và Hậu quả của Lỗ hổng Zero-day
Rủi ro Hệ thống và Khả năng Weaponization
Các tác động của lỗ hổng này vượt xa khỏi việc trình diễn kỹ thuật đơn thuần. Mọi tổ chức đang sử dụng giải pháp bảo mật của Elastic trên thực tế đang chứa một vũ khí tiềm năng ngay trong hệ thống phòng thủ đáng tin cậy của mình.
Kẻ tấn công có thể khai thác lỗ hổng này để vô hiệu hóa từ xa các endpoint doanh nghiệp được bảo vệ bởi Elastic, gây ra sự gián đoạn hoạt động trên diện rộng. Kịch bản này đại diện cho một cơn ác mộng đối với an ninh mạng doanh nghiệp, nơi phần mềm bảo mật đáng tin cậy lại trở thành công cụ để thỏa hiệp hệ thống.
Đe dọa Niềm tin vào Driver Kernel đã ký
Lỗ hổng zero-day này làm suy yếu niềm tin cơ bản vào các driver kernel đã được ký và đặt ra những câu hỏi nghiêm túc về trách nhiệm của nhà cung cấp bảo mật. Driver elastic-endpoint-driver.sys phiên bản 8.17.6 bị ảnh hưởng vẫn dễ bị tấn công mà không có bản vá bảo mật nào được cung cấp.
Driver này mang chữ ký của nhà phát hành Microsoft Windows Hardware Compatibility từ Elasticsearch, Inc., nhấn mạnh cách các thành phần đáng tin cậy, đã được ký có thể trở thành các rủi ro bảo mật nghiêm trọng.
Thời gian Phát hiện và Tiết lộ
Lịch sử Tiết lộ Lỗ hổng
Timeline tiết lộ nêu bật những khoảng trống đáng lo ngại trong các quy trình ứng phó lỗ hổng. AshES Cybersecurity đã phát hiện lỗi vào ngày 2 tháng 6 năm 2024 và cố gắng tiết lộ có trách nhiệm thông qua HackerOne vào ngày 11 tháng 6.
Sau khi không nhận được phản hồi thích đáng, họ đã thử liên hệ với Zero Day Initiative (ZDI) vào ngày 29 tháng 7. Cuối cùng, vào ngày 16 tháng 8, họ đã tiến hành tiết lộ công khai độc lập.
Điều trớ trêu là AshES Cybersecurity, một khách hàng trả tiền của Elasticsearch và đã chọn EDR làm giải pháp bảo vệ đáng tin cậy của họ, đã phát hiện ra lỗ hổng trong quá trình kiểm thử chế độ người dùng hợp pháp trong môi trường nghiên cứu của họ.
Những phát hiện của họ nhấn mạnh một thực tế khắc nghiệt: khi phần mềm bảo mật có thể bị biến thành vũ khí chống lại hệ thống máy chủ của nó, ranh giới giữa người bảo vệ và kẻ tấn công trở nên nguy hiểm bị xóa mờ. Tìm hiểu thêm về nghiên cứu lỗ hổng zero-day của AshES Cybersecurity.
Chỉ số Nhận diện Tấn công (IOCs)
Hiện tại, chỉ số nhận diện tấn công chính liên quan đến lỗ hổng này là tên của driver kernel bị ảnh hưởng. Các tổ chức nên theo dõi sự hiện diện hoặc hoạt động bất thường của thành phần này:
- Driver File:
elastic-endpoint-driver.sys - Affected Version:
8.17.6
Khuyến nghị Bảo mật và Phòng ngừa
Với việc không có bản vá bảo mật chính thức từ Elastic tại thời điểm hiện tại, các tổ chức đang sử dụng Elastic EDR phiên bản 8.17.6 cần thực hiện các biện pháp phòng ngừa khẩn cấp.
- Giám sát chặt chẽ: Tăng cường giám sát hoạt động của driver
elastic-endpoint-driver.sysvà các tiến trình tương tác với nó để phát hiện bất kỳ hành vi bất thường nào. - Đánh giá rủi ro: Đánh giá lại rủi ro liên quan đến việc triển khai Elastic EDR trong môi trường của bạn, đặc biệt là trên các hệ thống quan trọng.
- Chuẩn bị kế hoạch ứng phó: Phát triển hoặc cập nhật kế hoạch ứng phó sự cố cho trường hợp lỗ hổng này bị khai thác.
- Cập nhật thông tin: Theo dõi chặt chẽ các thông báo từ Elastic và AshES Cybersecurity để nhận được thông tin về bản vá bảo mật khi nó được phát hành. Việc áp dụng bản vá bảo mật là bước quan trọng nhất để khắc phục lỗ hổng zero-day này.
