研究人员绕过 CrowdStrike Falcon 传感器执行恶意应用程序

SEC Consult 的安全研究人员在 CrowdStrike 的 Falcon Sensor 中发现了一个重大漏洞，允许攻击者绕过检测机制并执行恶意应用程序。

这个被称为“睡美人”的漏洞最初于 2023 年底报告给 CrowdStrike，但被该公司简单地视为“检测漏洞”而驳回。

绕过检测机制的技术细节

绕过检测的技术并非试图终止 EDR（终端检测与响应）进程，而是暂停这些进程，从而为攻击者提供了一个不受检测的操作窗口。

研究人员发现，当攻击者在 Windows 机器上获得 NT AUTHORITYSYSTEM 权限后，可以使用 Process Explorer 工具暂停 CrowdStrike Falcon Sensor 的进程。

虽然系统禁止终止这些进程，但令人惊讶的是，暂停这些进程是被允许的，从而导致了一个重大的安全漏洞。Process Explorer 工具可以毫无阻碍地暂停这些关键的安全进程。

漏洞的严重性及影响

此外，“winPEAS starts”和“winPEAS can perform enumeration tasks”文档记录了 winPEAS 在进程暂停状态下成功执行并完成枚举任务的情况。

漏洞的技术实现与防护措施

技术分析揭示了该漏洞的重要限制。在传感器暂停时已经被 hook 的进程仍然受到 CrowdStrike 内核进程的监控。这意味着某些高风险操作，如 LSASS 内存转储，仍会触发保护机制并导致恶意应用程序被移除。

尽管如此，这一安全漏洞仍为攻击者提供了在受保护系统中站稳脚跟的足够机会。

当研究人员恢复被暂停的进程时，CrowdStrike 会立即隔离并移除恶意工具，这证实了暂停进程确实绕过了正常的检测协议。

起初，CrowdStrike 回应称“这种行为不会在传感器中造成安全漏洞”，并表示“暂停用户模式服务并不会停止内核组件或传感器通信”。然而，到了 2025 年，CrowdStrike 悄然实施了防止进程暂停的修复措施，实际承认了他们之前忽视的安全问题。

SEC Consult 是在后续的安全评估中偶然发现这一变化的，而非通过供应商的正式通知。

原文来自: cybersecuritynews.com