Elastic ادعاهای آسیب‌پذیری روز صفر در Defend EDR را رد کرد!

شرکت Elastic که در زمینه جستجوی سازمانی و امنیت فعالیت می‌کند، گزارش‌هایی مبنی بر وجود یک آسیب‌پذیری روز صفر در محصول تشخیص و پاسخ‌دهی اندپوینت (Defend EDR) خود را رد کرده است. این بیانیه در پی پستی وبلاگی از شرکت AshES Cybersecurity منتشر شد که ادعا می‌کرد یک نقص اجرای کد از راه دور (RCE) در Elastic Defend کشف کرده است که می‌تواند به مهاجم امکان دور زدن حفاظت‌های EDR را بدهد.

تیم مهندسی امنیت Elastic بررسی جامعی انجام داد؛ اما شواهدی برای پشتیبانی از ادعاهای وجود آسیب‌پذیری که بتواند نظارت EDR را دور بزند یا اجرای کد از راه دور را فعال کند، پیدا نکرد.

گزارش آسیب‌پذیری روز صفر در Defend EDR

طبق گزارش AshES Cybersecurity در ۱۶ آگوست، یک نقص ارجاع به اشاره‌گر NULL (NULL pointer dereference) در درایور کرنل Elastic Defend با نام elastic-endpoint-driver.sys می‌تواند برای دور زدن نظارت EDR، فعال کردن اجرای کد از راه دور با کاهش دیده‌شدن و برقراری پایداری در سیستم مورد سوءاستفاده قرار گیرد.

محقق AshES Cybersecurity اعلام کرد که برای نمایش اثبات مفهومی، از یک درایور سفارشی برای ایجاد نقص در شرایط کنترل‌شده استفاده کرده است. این شرکت دو ویدئو منتشر کرد: یکی نشان‌دهنده خرابی ویندوز به دلیل نقص در درایور Elastic و دیگری نشان‌دهنده اجرای ادعایی یک اکسپلویت که برنامه calc.exe را بدون واکنش Elastic Defend EDR اجرا می‌کند. این محقق ادعا کرد که این نقص روز صفر در درایور Elastic صرفا یک مشکل پایداری نیست، بلکه زنجیره حمله کاملی را فراهم می‌کند که مهاجمان می‌توانند در محیط‌های واقعی از آن سوءاستفاده کنند.

رد گزارش توسط Elastic

Elastic پس از ارزیابی ادعاها و گزارش‌های AshES Cybersecurity، نتوانست این آسیب‌پذیری و اثرات آن را بازتولید کند. این شرکت اعلام کرد که گزارش‌های متعدد دریافت‌شده از AshES Cybersecurity درباره این نقص ادعایی روز صفر، فاقد شواهد اکسپلویت‎‌های قابل‌تکرار بودند.

AshES Cybersecurity تأیید کرد که تصمیم گرفته اثبات مفهومی (PoC) را به Elastic یا شرکت‌های وابسته آن ارسال نکند. Elastic اظهار داشت که این محقق جزئیات کامل آسیب‌پذیری را به اشتراک نگذاشته و به جای پیروی از اصول افشای هماهنگ‌شده، ادعاهای خود را عمومی کرده است.

Elastic تأکید کرد که تمام گزارش‌های امنیتی را جدی می‌گیرد و از سال ۲۰۱۷ تاکنون بیش از ۶۰۰,۰۰۰ دلار به محققان از طریق برنامه باگ بانتی خود پرداخت کرده است.

منابع: