06/05/25
Речь идёт о приёме, получившем название Bring Your Own Installer (BYOI), который позволяет обойти защиту и установить вредоносное ПО, пишут в Securitylab.
В ходе расследования атаки на одну из корпоративных сетей эксперты установили, что злоумышленники использовали установщик SentinelOne. В определённый момент процесса обновления — сразу после остановки системных служб, но до завершения установки — они прерывали выполнение установщика, в результате чего на устройстве временно отключалась защита. Этот промежуток использовался для активации вымогательского ПО.
В отличие от других методов обхода EDR, здесь не применялись сторонние драйверы или вредоносные компоненты. уязвимость оказалась встроена в сам механизм обновления агента. По словам Джона Айлса и Тима Машни, представители Stroz Friedberg, вредоносные действия проводились с административными правами, полученными ранее через уязвимость в инфраструктуре клиента. При этом, как показало тестирование, приём работает на множестве версий софта от SentinelOne и не зависит от конкретной версии, установленной в момент атаки.
После публикации отчёта SentinelOne была уведомлена об уязвимости и распространила среди клиентов рекомендации по её устранению. Ключевым шагом является активация опции «Online Authorization» — по умолчанию она отключена. Включение этой функции требует подтверждения из консоли управления SentinelOne перед установкой, удалением или понижением версии агента, что исключает возможность обхода без одобрения администратором.
Несмотря на предупреждения, специалисты Stroz Friedberg отметили, что при повторных проверках в реальных инфраструктурах некоторые клиенты по-прежнему не активировали нужную настройку, что сохраняет угрозу повторения атаки.
