Lỗ hổng Zero-day nghiêm trọng trong Elastic EDR

Vừa qua, AshES Cybersecurity đã công bố một lỗ hổng zero-day nghiêm trọng mới trong phần mềm Elastic Endpoint Detection and Response (EDR), biến công cụ bảo mật này vũ khí cho các cuộc tấn công phát tán malware và gây Blue Screen of Death (BSOD) trên các hệ thống cài đặt Elastic EDR.

Thông tin lỗ hổng

Lỗ hổng zero-day được tìm thấy trong elastic-endpoint-driver.sys - một driver kernel của Elastic được ký bởi Microsoft. Trong điều kiện đặc biệt, driver này có thể xử lý sai các thao tác bộ nhớ bên trong các hàm kernel có đặc quyền, cho phép kẻ tấn công lợi dụng nhằm vượt qua các biện pháp bảo mật, thực thi mã độc và gây treo trên hệ thống được cài đặt.

Cụ thể, khi thuộc tính cs:InsertKernelFunction trong elastic-endpoint-driver.sys được gọi và thực thi với rcx tham chiếu tới một con trỏ do người dùng kiểm soát (user-controlled pointer) có thể sinh ra lỗi NULL pointer dereference (CWE-476) nếu như con trỏ này là NULL, đã được giải phóng, hoặc bị hỏng do bị chiếm luồng xử lý ưu tiên trên hệ thống (race condition), việc kiểm tra hợp lệ dữ liệu được truyền vào sẽ không diễn ra, dẫn đến BSOD trên hệ thống.

Lợi dụng lỗ hổng này, một chuỗi tấn công bốn bước có thể được kẻ tấn công áp dụng trong thực tế, gây thiệt hại lớn đối với bất kỳ tổ chức nào có hệ thống đang sử dụng Elastic EDR:

• Bước 1: Bypass EDR (Vượt qua EDR) - Một loader tuỳ chỉnh được viết bằng ngôn ngữ lập trình C có thể giúp kẻ tấn công dễ dành vô hiệu hoá Elastic Agent và Elastic Defend.

• Bước 2: Remote Code Execution (Thực thi mã từ xa) - Khi công cụ EDR đã bị vượt qua, kẻ tấn công có thể sử dụng các đặc quyền thấp đã đạt được trên máy nạn nhân để thực thi mã từ xa mà không gặp bất kỳ ngăn chặn nào.

• Bước 3: Thiết lập quyền kiểm soát lâu dài - Bằng cách cài đặt một driver kernel tuỳ chỉnh, kẻ tấn công có thể nắm được quyền kiểm soát và thiết lập sự tồn tại lâu dài trên hệ thống bị ảnh hưởng bằng cách lợi dụng lỗ hổng trong elastic-endpoint-driver.sys

• Bước 4: Tấn công từ chối dịch vụ - Kẻ tấn công có thể vô hiệu hoá khả năng hoạt động của hệ thống mục tiêu, liên tục lặp đi lặp lại tình trạng treo hệ thống, dẫn tới BSOD sau mỗi lần hệ thống tái khởi động. Điều này khiến các biện pháp bảo mật trên hệ thống trở nên vô hiệu

Khắc phục & Khuyến nghị

Hệ quả do lỗ hổng này gây ra là vô cùng nghiêm trọng. Đối với các tổ chức, doanh nghiệp đang sử dụng Elastic SIEM, Elastic EDR, đây có thể là một mối nguy hiểm tiềm tàng ngay bên trong hệ thống nội bộ. Kẻ tấn công có thể lợi dụng và khai thác lỗ hổng này, gây thiệt hại về kinh tế, uy tín của doanh nghiệp, đồng thời vô hiệu hoá hệ thống EDR, gây rủi ro đối mặt với các loại mã độc, ransomware nguy hiểm.

Đội ngũ FPT Threat Intelligence khuyến nghị người dùng nên thực hiện một số hành động sau nhằm giảm thiểu tác động lên hệ thống:

1. Cập nhật thông tin sớm nhất về bản vá lỗi: Hiện tại, chưa có thông báo chính thức nào về bản vá cho lỗ hổng này. Người dùng cần cập nhật liên tục thông tin chính thức từ Elastic và Microsoft về bản vá khắc phục lỗ hổng và cài đặt ngay sau khi nó được phát hành.

2. Giảm thiểu rủi ro tạm thời: Hạn chế sử dụng Elastic EDR trên các hệ thống quan trọng cho tới khi có bản vá, hoặc kết hợp với các công cụ bảo mật khác để gia tăng lớp bảo vệ.

3. Tằn cường giám sát: Giám sát chặt chẽ các hoạt động của elastic-endpoint-driver.sys và các tiến trình tương tác với nó nhằm phát hiện các hành vi bất thường như máy tính bị treo, tự khởi động lại,… bởi đây có thể là dấu hiệu lỗ hổng đang bị khai thác.

4. Chuẩn bị kế hoạch ứng phó: Chuẩn bị sẵn phương án xử lý khi hệ thống gián đoạn do bị tấn công nhằm giảm thiểu thiệt hại.

IOC

Tham khảo

1. 0-Day Research - Ashes Cybersecurity