La société de recherche et de sécurité d’entreprise Elastic rejette les rapports faisant état d’une vulnérabilité zero-day affectant son produit Defend endpoint detection and response (EDR).
La déclaration de l’entreprise fait suite à un article de blog d’une société appelée Ashes Cybersecurity affirmant avoir découvert une faille d’exécution de code à distance (RCE) dans Elastic Defend qui permettrait à un attaquant de contourner les protections EDR.
L’équipe d’ingénierie de sécurité d’Elastic « a mené une enquête approfondie » mais n’a pas pu trouver « de preuves étayant les allégations d’une vulnérabilité qui contourne la surveillance EDR et permet l’exécution de code à distance. »
Réclamations jour zéro
Selon l’article d’AshES Cybersecurity du 16 août, une faille de déréférencement de pointeur NULL dans le pilote du noyau d’Elastic Defender ‘ ‘ elastic-endpoint-driver.sys pourrait être militarisé pour contourner la surveillance EDR, permettre l’exécution de code à distance avec une visibilité réduite et établir la persistance sur le système.
« Pour la démonstration de validation de principe, j’ai utilisé un pilote personnalisé pour déclencher de manière fiable la faille dans des conditions contrôlées », explique le chercheur en cybersécurité AshES.
Pour montrer la validité de la conclusion, la société a publié deux vidéos, l’une montrant un plantage de Windows parce que le pilote d’Elastic a échoué, et une autre montrant l’exploit présumé démarrant calc.exe sans Défense EDR d’Elastic prenant des mesures.
“L’Elastic driver 0-day n’est pas seulement un bug de stabilité. Cela permet une chaîne d’attaque complète que les adversaires peuvent exploiter dans des environnements réels”, affirme le chercheur.
Rejet de l’élastique
Après avoir évalué les réclamations et les rapports d’AshES Cybersecurity, Elastic n’a pas été en mesure de reproduire la vulnérabilité et ses effets.
De plus, Elastic affirme que les multiples rapports qu’il a reçus d’AshES Cybersecurity pour le prétendu bogue zero-day « manquaient de preuves d’exploits reproductibles. »
« L’ingénierie de sécurité élastique et notre équipe de triage des primes de bogues ont effectué une analyse approfondie en essayant de reproduire ces rapports et n’ont pas pu le faire. Les chercheurs sont tenus de partager des preuves de concepts reproductibles; cependant, ils ont refusé » – Élastique
Ashes Cybersecurity a confirmé qu’ils avaient choisi de ne pas envoyer le PoC à Elastic ou aux affiliés de l’entreprise.
Elastic dit que le chercheur n’a pas partagé tous les détails de la vulnérabilité et a plutôt décidé de rendre ses affirmations publiques au lieu de suivre les principes de divulgation coordonnée.
Elastic a réaffirmé qu’elle prenait tous les rapports de sécurité au sérieux et, à partir de 2017, a versé plus de 600 000 $aux chercheurs dans le cadre du programme de primes aux bogues de l’entreprise.