Μια νέα ευπάθεια zero-day που ανακαλύφθηκε στο Elastic’s Endpoint Detection and Response (EDR) επιτρέπει σε επιτιθέμενους να παρακάμπτουν τα μέτρα ασφαλείας, να εκτελούν κακόβουλο κώδικα και να προκαλούν ένα σύστημα να καταρρεύσει με BSOD, σύμφωνα με την έρευνα της Ashes Cybersecurity.
Η ευπάθεια εντοπίζεται σε έναν βασικό πυρήνα του λογισμικού ασφαλείας, μετατρέποντας ουσιαστικά το αμυντικό εργαλείο σε όπλο ενάντια στα ίδια τα συστήματα που προορίζεται να προστατεύσει.
Το κρίσιμο σφάλμα στον elastic-endpoint-driver.sys
Η σοβαρή αδυναμία βρέθηκε στο «elastic-endpoint-driver.sys», έναν kernel driver υπογεγραμμένο από τη Microsoft και αναπτυγμένο από την Elasticsearch, Inc. Ο driver αυτός αποτελεί θεμελιώδες μέρος των λύσεων Elastic Defend και Elastic Agent.
Ο ερευνητής που ανακάλυψε την ευπάθεια περιέγραψε μια τετραβάθμια αλυσίδα επίθεσης που εκμεταλλεύεται το κενό για να επιτύχει πλήρη συμβιβασμό του συστήματος.
Η επίθεση ξεκινά με EDR Bypass, όπου ο εισβολέας μπορεί να χρησιμοποιήσει έναν custom loader για να παρακάμψει τις προστασίες ασφαλείας του Elastic. Μόλις το EDR τυφλωθεί, ο επιτιθέμενος μπορεί να προχωρήσει σε Remote Code Execution (RCE), εκτελώντας κακόβουλο κώδικα χωρίς να εντοπίζεται ή να μπλοκάρεται.
Το τρίτο βήμα περιλαμβάνει την εγκατάσταση Persistence, με την τοποθέτηση ενός custom kernel driver που μπορεί να αλληλεπιδρά με τον ευάλωτο Elastic driver. Τέλος, ο επιτιθέμενος μπορεί να προκαλέσει Privileged Persistent Denial of Service, κάνοντας το σύστημα να καταρρέει επανειλημμένα και να καθίσταται άχρηστο.
Η ρίζα της ευπάθειας
Στην καρδιά της ευπάθειας βρίσκεται το CWE-476: NULL Pointer Dereference. Σύμφωνα με την Ashes Cybersecurity, ο driver «elastic-endpoint-driver.sys» χειρίζεται λανθασμένα λειτουργίες μνήμης μέσα στις προνομιούχες kernel ρουτίνες του.
Υπό ορισμένες συνθήκες, ένας pointer που ελέγχεται από το user-mode περνά σε μια kernel function χωρίς σωστή επικύρωση. Αν αυτός ο pointer είναι null, έχει απελευθερωθεί ή είναι κατεστραμμένος, ο kernel προσπαθεί να τον κάνει dereference, οδηγώντας σε crash ολόκληρου του συστήματος – γνωστό ως Blue Screen of Death (BSOD).
Το proof-of-concept και οι επιπτώσεις
Ο ερευνητής απέδειξε ότι η ευπάθεια δεν είναι απλώς θεωρητικό σφάλμα, αλλά ένα αξιόπιστο και αναπαραγώγιμο exploit. Ένα custom Proof of Concept, αποτελούμενο από loader σε C και custom driver, χρησιμοποιήθηκε για να εκμεταλλευτεί το κενό υπό ελεγχόμενες συνθήκες.
Αυτό το proof-of-concept πρώτα παρακάμπτει το EDR, φορτώνει τον custom driver, εγκαθιστά persistence ώστε ο driver να ξαναφορτώνεται σε reboot και μετά αλληλεπιδρά με τον ευάλωτο Elastic driver για να προκαλέσει το BSOD.
Αυτό αποδεικνύει ουσιαστικά ότι ο ίδιος ο Elastic driver μπορεί να χειραγωγηθεί ώστε να εμφανίζει συμπεριφορά που μοιάζει με malware.
Οι επιπτώσεις αυτής της zero-day είναι σοβαρές για τις επιχειρήσεις που βασίζονται στα προϊόντα ασφαλείας της Elastic. Κάθε οργανισμός που χρησιμοποιεί Elastic SIEM και EDR μπορεί δυνητικά να φιλοξενεί μια ευπάθεια που μπορεί να εκμεταλλευτεί απομακρυσμένα για να απενεργοποιήσει τα endpoints σε μεγάλη κλίμακα.
Αυτή η κατάσταση δημιουργεί σημαντικό κίνδυνο, καθώς ένας αξιόπιστος, υπογεγραμμένος kernel driver μπορεί να μετατραπεί σε επίμονο και προνομιούχο όπλο.
Το χρονοδιάγραμμα της αποκάλυψης
Η ανακάλυψη της ευπάθειας ξεκίνησε στις 2 Ιουνίου 2025. Προσπάθειες αποκάλυψης έγιναν μέσω HackerOne στις 11 Ιουνίου και μέσω Zero Day Initiative (ZDI) στις 29 Ιουλίου. Μετά από αυτές τις προσπάθειες, ακολούθησε ανεξάρτητη αποκάλυψη στις 16 Αυγούστου 2025.
Το επηρεαζόμενο προϊόν είναι το elastic-endpoint-driver.sys στην έκδοση 8.17.6, αν και θεωρείται ότι όλες οι μεταγενέστερες εκδόσεις είναι ευάλωτες, καθώς δεν έχει κυκλοφορήσει patch.
Ο ερευνητής σημείωσε ότι η ευπάθεια ανακαλύφθηκε κατά τη διάρκεια δοκιμών σε user-mode και ότι ο οργανισμός του, η Ashes Cybersecurity Pvt Ltd., είναι πελάτης με συνδρομή της Elastic.
«Ένας αμυντικός μηχανισμός που καταρρέει, τυφλώνεται ή απενεργοποιεί το ίδιο του το σύστημα κατ’ εντολή, είναι αδιαχώριστος από malware», δήλωσε, τονίζοντας την αποδυνάμωση της εμπιστοσύνης όχι μόνο στην Elastic αλλά και στη βιομηχανία ασφαλείας γενικότερα. Μέχρι να κυκλοφορήσει patch, οι πελάτες παραμένουν εκτεθειμένοι σε αυτήν την ενεργή zero-day απειλή.
