Come le soluzioni EDR possono essere utilizzate dagli hacker come armi

Lo specialista di SafeBreach Shmuel Cohen ha dimostrato che le soluzioni EDR possono essere utilizzate come strumenti di attacco. Durante lo studio, Cohen ha analizzato uno dei sistemi EDR, identificando le vulnerabilità che potrebbero consentire agli hacker di utilizzare tale strumento a scopo dannoso.

I sistemi EDR eseguiti con privilegi elevati sono progettati per proteggere i dispositivi da varie minacce, incluso il malware. Tuttavia, la compromissione di tali sistemi può fornire agli aggressori un accesso persistente e non rilevabile ai dispositivi delle vittime.

Cohen ha scoperto che il comportamento dell’EDR sotto indagine gli consentiva di aggirare la protezione dalla modifica dei file, consentendogli di eseguire software di crittografia ransomware e persino di caricare un driver vulnerabile per impedire la rimozione dell’EDR utilizzando una password di amministratore.

Inoltre, il ricercatore ha trovato un modo per iniettare codice dannoso in uno dei processi EDR, consentendo al codice di essere eseguito con privilegi elevati e di non essere rilevato. Cohen ha anche sfruttato la capacità di modificare i file Lua e Python, rendendo possibile l’esecuzione di codice dannoso e l’accesso alla macchina con i più alti privilegi di sistema.

Usando un driver vulnerabile, Cohen poteva leggere e scrivere nel kernel del sistema, permettendogli di modificare i controlli della password di controllo di EDR per consentire l’uso di qualsiasi password, o addirittura bloccare la disinstallazione del programma se era disconnesso dal server di controllo.

Lo studio evidenzia che gli attacchi alle soluzioni EDR possono fornire agli aggressori potenti funzionalità che probabilmente non verranno rilevate. Cohen osserva che i prodotti di sicurezza devono proteggere attentamente la logica dei processi di rilevamento, crittografare e firmare digitalmente i file di contenuto per impedirne la manomissione. Dovresti anche aggiungere processi agli elenchi consentiti o negati in base a diversi parametri che un utente malintenzionato non dovrebbe essere in grado di modificare.

Palo Alto Networks ha risposto alla scoperta di Cohen aggiornando i propri meccanismi di sicurezza e consigliando agli utenti di assicurarsi che i loro sistemi fossero aggiornati. Cohen ha condiviso la sua ricerca con il pubblico per aumentare la consapevolezza su tali minacce e rafforzare le misure di sicurezza nelle organizzazioni.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.