Redazione RHC : 23 Aprile 2024 09:59
Lo specialista di SafeBreach Shmuel Cohen ha dimostrato che le soluzioni EDR possono essere utilizzate come strumenti di attacco. Durante lo studio, Cohen ha analizzato uno dei sistemi EDR, identificando le vulnerabilità che potrebbero consentire agli hacker di utilizzare tale strumento a scopo dannoso.
I sistemi EDR eseguiti con privilegi elevati sono progettati per proteggere i dispositivi da varie minacce, incluso il malware. Tuttavia, la compromissione di tali sistemi può fornire agli aggressori un accesso persistente e non rilevabile ai dispositivi delle vittime.
Cohen ha scoperto che il comportamento dell’EDR sotto indagine gli consentiva di aggirare la protezione dalla modifica dei file, consentendogli di eseguire software di crittografia ransomware e persino di caricare un driver vulnerabile per impedire la rimozione dell’EDR utilizzando una password di amministratore.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Inoltre, il ricercatore ha trovato un modo per iniettare codice dannoso in uno dei processi EDR, consentendo al codice di essere eseguito con privilegi elevati e di non essere rilevato. Cohen ha anche sfruttato la capacità di modificare i file Lua e Python, rendendo possibile l’esecuzione di codice dannoso e l’accesso alla macchina con i più alti privilegi di sistema.
Usando un driver vulnerabile, Cohen poteva leggere e scrivere nel kernel del sistema, permettendogli di modificare i controlli della password di controllo di EDR per consentire l’uso di qualsiasi password, o addirittura bloccare la disinstallazione del programma se era disconnesso dal server di controllo.
Lo studio evidenzia che gli attacchi alle soluzioni EDR possono fornire agli aggressori potenti funzionalità che probabilmente non verranno rilevate. Cohen osserva che i prodotti di sicurezza devono proteggere attentamente la logica dei processi di rilevamento, crittografare e firmare digitalmente i file di contenuto per impedirne la manomissione. Dovresti anche aggiungere processi agli elenchi consentiti o negati in base a diversi parametri che un utente malintenzionato non dovrebbe essere in grado di modificare.
Palo Alto Networks ha risposto alla scoperta di Cohen aggiornando i propri meccanismi di sicurezza e consigliando agli utenti di assicurarsi che i loro sistemi fossero aggiornati. Cohen ha condiviso la sua ricerca con il pubblico per aumentare la consapevolezza su tali minacce e rafforzare le misure di sicurezza nelle organizzazioni.
RedazioneSecondo quanto riportato dai media, le autorità statunitensi starebbero segretamente inserendo dispositivi di localizzazione in lotti di chip che potrebbero essere dirottati illegalmente verso la...
Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
