A Elastic, empresa conhecida pelas suas soluções de pesquisa e segurança, veio a público refutar as alegações sobre uma vulnerabilidade de dia zero que estaria a afetar o seu produto de deteção e resposta para endpoints (EDR), o Elastic Defend. A declaração da empresa surge em resposta a uma publicação da AshES Cybersecurity, que afirmava ter descoberto uma falha grave de execução remota de código (RCE) capaz de contornar as proteções do sistema.
A equipa de Engenharia de Segurança da Elastic garante ter conduzido uma investigação exaustiva, não encontrando "qualquer evidência que suporte as alegações de uma vulnerabilidade" que permita o bypass da monitorização do EDR ou a execução de código malicioso.
A acusação de falha crítica
Segundo o artigo publicado pela AshES Cybersecurity a 16 de agosto, a vulnerabilidade residiria numa falha de desreferência de ponteiro nulo no driver do kernel do Elastic Defend, o ‘elastic-endpoint-driver.sys’. Se explorada, esta falha poderia permitir que um atacante contornasse a monitorização do EDR, executasse código remotamente com visibilidade reduzida e estabelecesse persistência no sistema comprometido.
Para provar as suas alegações, o investigador da AshES Cybersecurity publicou dois vídeos. Um demonstra o crash do Windows causado pela suposta falha no driver da Elastic, enquanto o outro exibe um alegado exploit a executar a aplicação da calculadora (calc.exe) sem que o EDR da Elastic detetasse ou bloqueasse a ação. "O dia zero no driver da Elastic não é apenas um bug de estabilidade. Permite uma cadeia de ataque completa que os adversários podem explorar em ambientes reais", afirma o investigador.
A resposta da Elastic
Após analisar as alegações, a Elastic declarou ser incapaz de reproduzir a vulnerabilidade e os seus efeitos. A empresa sublinha que os múltiplos relatórios recebidos da AshES Cybersecurity sobre o suposto bug "careciam de provas de exploits reprodutíveis". A Elastic criticou a decisão do investigador de não partilhar uma prova de conceito (PoC) funcional, o que vai contra os princípios da divulgação coordenada de falhas de segurança.
A AshES Cybersecurity confirmou que optou por não enviar a PoC à Elastic ou a qualquer uma das suas afiliadas. A Elastic lamenta que o investigador tenha decidido tornar as suas alegações públicas em vez de seguir os procedimentos padrão, reiterando que leva todos os relatórios de segurança a sério. Como prova do seu compromisso, a empresa refere que, desde 2017, já pagou mais de 550.000 euros a investigadores através do seu programa de bug bounty.
Nenhum comentário
Seja o primeiro!