Comme toute solution de cybersécurité qui se respecte, l'EDR de SentinelOne est dotée d'une fonction de protection contre le sabotage (anti-tamper). Ce produit embarque ainsi un mécanisme nécessitant une action administrateur dans sa console de gestion couplé à un mot de passe complexe pour désactiver son agent. Problème : un pirate est parvenu à obtenir un accès administrateur local et réussi à contourner cette protection ; et pire encore, après avoir désactivé l'agent Windows de cette solution, le pirate est parvenu à exécuter sur un serveur compromis une variante du célèbre ransomware Babuk.

"Cette méthode contourne la fonction anti-tamper de SentinelOne en exploitant une faille dans le processus de mise à niveau/rétrogradation de l'agent SentinelOne, ce qui aboutit à un point d'extrémité non protégé", a expliqué le chercheur en sécurité Stroz Friedberg d'AON (société de conseil et services en cybersécurité). L'accès administrateur local a été obtenu depuis un serveur exposé sur le web suite à l'exploitation d'une faille de sécurité de l'une de ses applications. A date aucune trace d'exploit n'a cependant été décelée dans la nature.

Des mesures de protection prises

Suite à cette recherche de son partenaire AON, SentinelOne indique avoir pris des mesures : tout d'abord la passphrase de l'agent local est activée par défaut pour empêcher les désinstallations non autorisées d'agents et peut également être activée pour protéger contre les mises à niveau non autorisées d'agents. Ensuite l'éditeur propose une fonction d'autorisation de mise à niveau locale pour garantir que les mises à niveau sont authentifiées par le via la console SentinelOne. "Aujourd'hui, nous améliorons encore ces mesures de sécurité en activant la fonction d'autorisation de mise à jour locale par défaut pour tous les nouveaux clients", indique par ailleurs le fournisseur.

Stroz Friedberg donne et rappelle par ailleurs quelques conseils : activer immédiatement le paramètre « autorisation en ligne », surveiller les systèmes pour détecter les changements de version inattendus de SentinelOne (EventID 1) et les changements multiples de produits de versions sur de courtes périodes. Sans oublier de vérifier les journaux d'événements pour voir si les services EDR ont été interrompus brusquement.