محققان شرکت Aon’s Stroz Friedberg نوعی حمله جدید با نام “Bring Your Own Installer” را شناسایی کرده‌اند که از پیکربندی‌های نادرست در سیستم EDR شرکت SentinelOne سوءاستفاده می‌کند. این حمله با دور زدن ویژگی anti-tamper، امکان غیرفعال‌سازی محافظت از سیستم را فراهم کرده و راه را برای اجرای بدافزارها، از جمله نسخه‌ای از باج‌افزار Babuk، هموار می‌سازد.

در این تکنیک، مهاجم با دستیابی به دسترسی ادمین محلی از طریق آسیب‌پذیری شناخته‌شده (CVE) در نرم‌افزار دیگری، اقدام به اجرای فایل نصب (MSI) نسخه‌ای متفاوت از SentinelOne می‌کند. در طی فرآیند نصب جدید، کلیه فرآیندهای نسخه قدیمی حدود ۵۵ ثانیه زودتر متوقف می‌شوند، پیش از آن‌که نسخه جدید به‌طور کامل اجرا گردد. مهاجم در این فاصله با استفاده از دستور taskkill نصب را متوقف کرده و به سیستمی بدون محافظت دست می‌یابد.

SentinelOne در پاسخ به این موضوع، بلاگی منتشر کرده و اعلام کرده است که به‌سرعت ویژگی جدیدی با عنوان Local Upgrade Authorization را معرفی کرده است. این گزینه که اکنون برای تمام مشتریان جدید به‌صورت پیش‌فرض فعال است، اجازه‌ی به‌روزرسانی یا تنزل نسخه به‌صورت محلی را غیرفعال می‌کند و از این نوع حمله جلوگیری می‌کند.

شرکت Stroz Friedberg تأکید کرده که این حمله تنها در صورتی قابل اجرا است که تنظیمات محافظتی به درستی پیکربندی نشده باشند. همچنین SentinelOne این تکنیک را با سایر ارائه‌دهندگان راهکارهای EDR نیز به اشتراک گذاشته تا از گسترش آن در دیگر محصولات جلوگیری شود.

این حمله نشان‌دهنده ضعف‌های پنهان در فرآیندهای به‌روزرسانی محصولات امنیتی است و اهمیت پیکربندی صحیح و محدودسازی مجوزهای محلی را دوچندان می‌کند.