Une nouvelle technique de contournement EDR » Apportez votre propre installateur » est exploitée dans les attaques pour contourner la fonction de protection contre l’altération de SentinelOne, permettant aux auteurs de menaces de désactiver les agents EDR (endpoint detection and response) pour installer le ransomware Babuk.
Cette technique exploite une lacune dans le processus de mise à niveau de l’agent qui permet aux auteurs de menaces de mettre fin à l’exécution des agents EDR, laissant les appareils sans protection.
L’attaque a été découverte par John Ailes et Tim Mashni de l’équipe de réponse aux incidents Stroz Friedberg d’Aon lors d’un engagement avec un client qui a subi une attaque par ransomware plus tôt cette année.
La technique ne repose pas sur des outils ou des pilotes tiers comme nous le voyons normalement avec les contournements EDR, mais abuse plutôt de l’installateur SentinelOne lui-même.
SentinelOne recommande aux clients d’activer le paramètre « Autorisation en ligne », qui est désactivé par défaut, pour atténuer cette attaque.
« Nous voulons faire passer le mot pour que les clients de SentinelOne sachent qu’il faut activer la protection de mise à niveau locale », a déclaré John Ailes, directeur du DFIR Stroz Friedberg d’Aon, à Breachtrace.
« Nous avons enquêté sur des environnements avec SentinelOne depuis que leurs conseils ont été envoyés aux clients et avons vu des clients qui ne l’ont toujours pas activé. En fin de compte, faire passer le mot pour atténuer ce contournement est la chose la plus importante. »
Activement exploité dans les attaques de ransomware
Les chercheurs de Stroz Friedberg expliquent que SentinelOne protège son agent EDR avec une fonction de protection anti-altération qui nécessite une action manuelle dans la console de gestion SentinelOne ou un code unique pour supprimer un agent.
Cependant, comme de nombreux autres programmes d’installation de logiciels, lors de l’installation d’une version différente de l’agent, le programme d’installation de SentinelOne met fin à tous les processus Windows associés juste avant que les fichiers existants ne soient écrasés par la nouvelle version.
Les auteurs de menaces ont découvert qu’ils pouvaient exploiter cette petite fenêtre d’opportunité en exécutant un programme d’installation SentinelOne légitime, puis en interrompant de force le processus d’installation après l’arrêt des services de l’agent en cours d’exécution, laissant les appareils sans protection.
Plus tôt cette année, Stroz Friedberg a été engagé pour enquêter sur une attaque sur le réseau d’un client, avec des journaux montrant que les attaquants ont obtenu un accès administratif au réseau du client grâce à une vulnérabilité.
Les attaquants ont ensuite utilisé ce nouveau contournement en mettant fin au programme d’installation de SentinelOne Windows (« msiexec.exe ») avant qu’il puisse installer et lancer la nouvelle version de l’agent. Avec les protections désactivées sur l’appareil, les auteurs de la menace ont ensuite pu déployer le ransomware.
Dans une conversation avec Breachtrace, Ailes a déclaré que les acteurs de la menace peuvent utiliser des versions nouvelles ou anciennes de l’agent pour mener cette attaque, donc même si la dernière version fonctionne sur des appareils, ils sont toujours vulnérables.
« Stroz Friedberg a également observé que l’hôte s’était déconnecté de la console de gestion SentinelOne peu de temps après la fin du programme d’installation », prévient le rapport de Stroz Friedberg.
« Des tests supplémentaires ont montré que l’attaque avait réussi sur plusieurs versions de l’agent SentinelOne et ne dépendait pas des versions spécifiques observées dans cet incident. »
Stroz Friedberg a divulgué de manière responsable cette attaque à SentinelOne, qui a partagé en privé les atténuations avec les clients en janvier 2025.
L’atténuation consiste à activer la fonctionnalité « Autorisation en ligne » dans les paramètres de stratégie Sentinel qui, lorsqu’elle est activée, nécessite l’approbation de la console de gestion SentinelOne avant que des mises à niveau locales, des rétrogradations ou des désinstallations de l’agent puissent se produire.
SentinelOne a également partagé l’avis de Stroz Friedberg sur cette nouvelle technique avec tous les autres principaux fournisseurs d’EDR, au cas où ils seraient également affectés.
Palo Alto Networks a confirmé à Stroz Friedberg que cette attaque n’avait pas d’impact sur son logiciel EDR.