Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 23 Aprile 2024 09:59
Lo specialista di SafeBreach Shmuel Cohen ha dimostrato che le soluzioni EDR possono essere utilizzate come strumenti di attacco. Durante lo studio, Cohen ha analizzato uno dei sistemi EDR, identificando le vulnerabilità che potrebbero consentire agli hacker di utilizzare tale strumento a scopo dannoso.
I sistemi EDR eseguiti con privilegi elevati sono progettati per proteggere i dispositivi da varie minacce, incluso il malware. Tuttavia, la compromissione di tali sistemi può fornire agli aggressori un accesso persistente e non rilevabile ai dispositivi delle vittime.
Cohen ha scoperto che il comportamento dell’EDR sotto indagine gli consentiva di aggirare la protezione dalla modifica dei file, consentendogli di eseguire software di crittografia ransomware e persino di caricare un driver vulnerabile per impedire la rimozione dell’EDR utilizzando una password di amministratore.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Inoltre, il ricercatore ha trovato un modo per iniettare codice dannoso in uno dei processi EDR, consentendo al codice di essere eseguito con privilegi elevati e di non essere rilevato. Cohen ha anche sfruttato la capacità di modificare i file Lua e Python, rendendo possibile l’esecuzione di codice dannoso e l’accesso alla macchina con i più alti privilegi di sistema.
Usando un driver vulnerabile, Cohen poteva leggere e scrivere nel kernel del sistema, permettendogli di modificare i controlli della password di controllo di EDR per consentire l’uso di qualsiasi password, o addirittura bloccare la disinstallazione del programma se era disconnesso dal server di controllo.
Lo studio evidenzia che gli attacchi alle soluzioni EDR possono fornire agli aggressori potenti funzionalità che probabilmente non verranno rilevate. Cohen osserva che i prodotti di sicurezza devono proteggere attentamente la logica dei processi di rilevamento, crittografare e firmare digitalmente i file di contenuto per impedirne la manomissione. Dovresti anche aggiungere processi agli elenchi consentiti o negati in base a diversi parametri che un utente malintenzionato non dovrebbe essere in grado di modificare.
Palo Alto Networks ha risposto alla scoperta di Cohen aggiornando i propri meccanismi di sicurezza e consigliando agli utenti di assicurarsi che i loro sistemi fossero aggiornati. Cohen ha condiviso la sua ricerca con il pubblico per aumentare la consapevolezza su tali minacce e rafforzare le misure di sicurezza nelle organizzazioni.
RedazioneNegli ultimi anni l’attenzione politica si è ampliata al di fuori dei confini nazionali dei diversi stati. Dall’oramai superata pandemia causata dal COVID-19 e la (ri)nascita dei di...
Un nuovo nome sta guadagnando rapidamente visibilità nei meandri del cybercrime underground: Machine1337, un attore malevolo attivo sul noto forum underground chiuso XSS, dove ha pubblicato una s...
La più grande azienda siderurgica statunitense, Nucor, ha temporaneamente sospeso le attività in diversi suoi stabilimenti dopo che la sua infrastruttura IT interna è stata attaccata. L...
Un’onda d’urto tra vulnerabilità, webshell e gruppi ransomware Il 14 maggio 2025, il team di intelligence di ReliaQuest ha aggiornato la propria valutazione su una pericolosa vulner...
I ricercatori di sicurezza hanno individuato un nuovo metodo d’attacco in cui i cybercriminali sfruttano gli inviti di Google Calendar per veicolare malware. La tecnica impiegata si basa su un ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
