記事本文(要約)
新たな「Bring Your Own Installer」技術が利用され、SentinelOneのEDR(エンドポイント検出・応答)エージェントを無効化し、Babukランサムウェアをインストールする攻撃が行われています。この技術は、エージェントのアップグレードプロセスの隙を突いてEDRを無力化します。Aon’s Stroz Friedbergの調査チームによって発見され、SentinelOneのインストーラ自体を悪用することで、EDRのアンチタンパー保護機能をバイパスします。
この脆弱性に対する緩和策として、SentinelOneは顧客に「オンライン認可」設定を有効にすることを推奨しています。これにより、ローカルでのアップグレードやアンインストールがコンソールの承認なしには行えなくなります。
攻撃者は、正規のSentinelOneインストーラを利用してエージェントの保護を無効にし、その隙にランサムウェアを展開します。この攻撃は、新旧どちらのエージェントバージョンでも可能であり、複数のバージョンで成功が確認されています。ただし、Palo Alto NetworksのEDRソフトウェアには影響がないことが確認されています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 05 May 2025 16:28:34 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-bring-your-own-installer-edr-bypass-used-in-ransomware-attack/
詳細な技術情報
以下に、示された文章に基づいたセキュリティの詳細情報を提供します。
- CVE番号:
- 現段階では、具体的なCVE番号は言及されていません。この脆弱性は新しい技術に基づいているため、CVE番号がまだ割り当てられていない可能性があります。
- 脆弱性の仕組み:
- この脆弱性は、SentinelOneエージェントのインストーラープロセスの特定の動作を悪用します。新しいバージョンをインストールする際に、中断時間があり、既存のエージェントのプロセスが終了され、置き換えられるまでの間、システムが一時的に無防備になります。この短い時間枠を利用して、攻撃者はエージェントを無効化します。
- 攻撃手法:
- 「Bring Your Own Installer」手法を用いることで、攻撃者は正規のSentinelOneインストーラーを利用してエージェントのプロセスを終了させます。その後、インストールプロセスを強制終了することによって、エージェントの保護を回避します。この結果、システムは防御策を喪失し、ランサムウェアを展開するための隙が生まれます。
- 潜在的な影響:
- この脆弱性は、エンドポイント検出及び応答(EDR)エージェントを無効化することにより、システムがマルウェア、特にランサムウェア攻撃に対して脆弱になります。攻撃者はこの手法を利用して、システム全体を支配する可能性があります。
- 推奨される対策:
- SentinelOneは、「オンライン認証」機能を有効化することを推奨しています。この機能を有効にすることで、エージェントのローカルアップグレード、ダウングレード、アンインストールの際にSentinelOne管理コンソールからの承認を必要にします。
- さらに、「ローカルアップグレード保護」を有効化することも推奨されています。これにより、攻撃が困難になり、エージェントが不正に無効化されるのを防ぎます。
- 常に最新のソフトウェアバージョンを使用し、不審なアクティビティを監視することも重要です。
