Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 23 Aprile 2024 09:59
Lo specialista di SafeBreach Shmuel Cohen ha dimostrato che le soluzioni EDR possono essere utilizzate come strumenti di attacco. Durante lo studio, Cohen ha analizzato uno dei sistemi EDR, identificando le vulnerabilità che potrebbero consentire agli hacker di utilizzare tale strumento a scopo dannoso.
I sistemi EDR eseguiti con privilegi elevati sono progettati per proteggere i dispositivi da varie minacce, incluso il malware. Tuttavia, la compromissione di tali sistemi può fornire agli aggressori un accesso persistente e non rilevabile ai dispositivi delle vittime.
Cohen ha scoperto che il comportamento dell’EDR sotto indagine gli consentiva di aggirare la protezione dalla modifica dei file, consentendogli di eseguire software di crittografia ransomware e persino di caricare un driver vulnerabile per impedire la rimozione dell’EDR utilizzando una password di amministratore.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Inoltre, il ricercatore ha trovato un modo per iniettare codice dannoso in uno dei processi EDR, consentendo al codice di essere eseguito con privilegi elevati e di non essere rilevato. Cohen ha anche sfruttato la capacità di modificare i file Lua e Python, rendendo possibile l’esecuzione di codice dannoso e l’accesso alla macchina con i più alti privilegi di sistema.
Usando un driver vulnerabile, Cohen poteva leggere e scrivere nel kernel del sistema, permettendogli di modificare i controlli della password di controllo di EDR per consentire l’uso di qualsiasi password, o addirittura bloccare la disinstallazione del programma se era disconnesso dal server di controllo.
Lo studio evidenzia che gli attacchi alle soluzioni EDR possono fornire agli aggressori potenti funzionalità che probabilmente non verranno rilevate. Cohen osserva che i prodotti di sicurezza devono proteggere attentamente la logica dei processi di rilevamento, crittografare e firmare digitalmente i file di contenuto per impedirne la manomissione. Dovresti anche aggiungere processi agli elenchi consentiti o negati in base a diversi parametri che un utente malintenzionato non dovrebbe essere in grado di modificare.
Palo Alto Networks ha risposto alla scoperta di Cohen aggiornando i propri meccanismi di sicurezza e consigliando agli utenti di assicurarsi che i loro sistemi fossero aggiornati. Cohen ha condiviso la sua ricerca con il pubblico per aumentare la consapevolezza su tali minacce e rafforzare le misure di sicurezza nelle organizzazioni.
Redazione1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
