Elastic EDR 0-Day漏洞曝光:攻击者可绕过检测执行恶意代码并引发系统崩溃

原创 于 2025-08-18 11:15:07 发布 · 570 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全

漏洞概述

网络安全研究人员近日发现Elastic终端检测与响应(EDR)解决方案中存在一个严重的零日漏洞(CVE待分配)。该漏洞存在于Elastic安全产品的核心组件"elastic-endpoint-driver.sys"驱动程序中,这是一个由微软签名、Elasticsearch公司开发的内核级驱动程序,属于Elastic Defend和Elastic Agent安全解决方案的基础组成部分。

技术细节分析

漏洞本质

该漏洞被归类为CWE-476: NULL指针解引用问题。具体而言,“elastic-endpoint-driver.sys"驱动程序在其特权内核例程中未正确处理内存操作。在某些条件下,一个可从用户模式控制的指针被传递到内核函数中,但缺乏适当的验证机制。当该指针为null、已被释放或已损坏时,内核尝试解引用它,导致系统范围崩溃,即常见的"蓝屏死机”(BSOD)。

攻击链分析

研究人员详细描述了利用此漏洞的四步攻击链:

  1. EDR绕过:攻击者使用自定义加载器绕过Elastic的安全防护
  2. 远程代码执行(RCE):在EDR被"致盲"后执行恶意代码
  3. 持久化驻留:植入自定义内核驱动程序与易受攻击的Elastic驱动交互
  4. 特权持久性拒绝服务:导致系统反复崩溃直至无法使用

影响范围与严重性

  • 受影响版本:8.17.6及后续所有版本(截至2025年8月17日尚未发布补丁)
  • 潜在影响:
    • 完全系统沦陷
    • 大规模端点瘫痪
    • 安全产品本身被武器化

"一个会崩溃、致盲或按命令禁用自身系统的防御者与恶意软件无异。"研究人员强调,这不仅损害了用户对Elastic产品的信任,更对整个安全行业产生了负面影响。

时间线与披露过程

  • 2025年6月2日:漏洞首次发现
  • 6月11日:通过HackerOne尝试披露
  • 7月29日:通过零日倡议(ZDI)尝试披露
  • 8月16日:独立公开披露

IOCs

文件名:elastic-endpoint-driver.sys

产品版本:8.17.6

测试版本,但当前所有后续版本都受到影响,因为尚无可用的补丁

签名:

Microsoft Windows Hardware Compatibility Publisher

Elasticsearch, Inc.

IOC

elastic-endpoint-driver.sys

A6B000E84CB68C5096C0FD73AF9CEF2372ABD591EC973A969F58A81CF1141337

更多安全资讯参考:

athink_cn
关注
网络安全方向相关课题和材料
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
10-30 1578
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
渗透测试工具大全
2401_84466336的博客
05-24 2234
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读同意本协议的约束。本教程的目的在于最大限度地唤醒大家对网络安全的重视,采取相应的安全措施,从而减少由网络安全而带来的经济损失。3不会收取任何广告费用,展示的所有工具链接与本人无任何利害关系。
技战法-监测挖掘抵御0day漏洞
2301_77391997的博客
07-29 641
是指尚未被相关软硬件厂商或开发者或的安全漏洞。此类漏洞常被攻击者利用实施,且(如态势感知系统、防火墙等均无法全面产生有效告警和拦截)。在中,0day漏洞已成为红队人员攻破蓝队防御体系的重要。通常针对以及。一旦某系统0day漏洞被公开,将导致等面临安全风险。因此,在现有基础上,应重点关注,与及建立,共同应对0day漏洞带来的安全挑战。
红队攻击:初始访问
07-12 7414
【红队攻击】文章系列第【3】篇:《初始访问》
WAF 与 SIEM 联动:攻击事件的实时告警与溯源分析流程
2301_78078966的博客
08-14 532
​:WAF 与 SIEM 的联动通过​。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6241
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
红蓝对抗之常见网络安全事件研判、了解网络安全设备、Webshell入侵检测
Love&Share
12-25 9149
文章目录研判(入侵检测)设备经典网络云网络异常HTTP请求Webshell分析Webshell 的分类Webshell 的检测主机层面流量层面附录常见端口漏洞参考文章: 研判(入侵检测) 研判我理解为人工层面对入侵检测事件进行再分析,即借助已有的设备告警根据经验判断是否为真实攻击 研判工作要充分利用已有安全设备(需要提前了解客户的网络拓扑以及部署设备情况),分析其近期的设备告警,将全部流量日志(日志条件:源地址,目的地址,端口,事件名称,时间,规则ID,发生 次数等)根据研判标准进行筛选(像挖矿、蠕虫、.
社工钓鱼:理解、方法与技术防范
2401_84215240的博客
07-30 628
社工钓鱼(Social Engineering Phishing)是攻击者通过心理操纵与技术伪装,结合邮件、电话、假网站、Wi-Fi 热点、U 盘等方式,诱骗用户泄露敏感信息(如账号密码、验证码、私钥)或植入恶意代码的攻击手段,其核心在于利用人性弱点(如信任、恐惧、贪婪)而非单纯依赖技术漏洞。在大型攻防演练中,社工钓鱼也是常用的攻击方式之一,利用此手段往往可以从“人”身上取得巨大突破。
网络安全术语表(英文-缩写-中文-定义)
热门推荐
ExcaliburZY的博客
03-22 2万+
不一定全,不一定正确,根据网络查询自用整理。 英文 简称 中文 定义 Access Control Decision Function ADF 访问控制判决功能 Access Control Decision Information ADI 访问控制判决信息 Access Control Enforcement Function AEF 访问控制实施功能 Access Control Entries ACE 访问控制入口 Access Control Informat
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9613
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
【威胁情报利用】:如何整合与运用青藤云安全产品的威胁情报?
![【威胁情报利用】:如何整合与运用青藤云安全产品的威胁情报?]... ...# 1.... 随着网络安全威胁的日益复杂和频繁,威胁情报成为了IT行业不可或缺的一部分。威胁情报是一种收集、分析利用信息
《中国人工智能安全承诺框架》发布
2501_91883294的博客
08-14 2063
为把握新一轮发展机遇,中国人工智能发展与安全研究网络成员郑重发起《中国人工智能安全承诺框架》,通过产业自律,以高水平安全保障高质量发展,协力共促人工智能稳健发展。我们深知,自律承诺是获得社会信任的关键要素,我们将以本承诺作为行动守则,接受社会各界监督,不断提升优化,促进人工智能技术应用以人为本,智能向善。承诺四:提升基础设施安全。建立人工智能系统部署的软硬件安全监测和防护能力,实施定期和动态的安全渗透测试,模拟各种潜在的风险场景,识别报告环境中的安全隐患,研判可能导致的各种风险。承诺五:增强模型透明度。
仓库无人叉车的安全功能有哪些?如何在提升效率时保障安全
AiTEN_Robot的博客
08-13 573
在仓库引入无人叉车,不仅是效率的提升,更是安全管理的一次升级。借助障碍物检测、紧急停止、自适应行驶以及货物稳定控制等技术,这些设备能够在满足严格安全法规的同时,有效降低运营风险。在选择无人叉车方案时,企业应确保其产品符合相关安全标准,根据自身仓储布局与作业流程,配置合适的安全功能。毕竟,在物料搬运的数字化浪潮中,安全始终应放在首位。原文:海豚之星机器人。
【web站点安全开发】任务4:JavaScript与HTML/CSS的完美协作指南
不羁的博客
08-14 955
本文介绍了JavaScript在前端开发中的核心作用及其与HTML、CSS的协作方式。主要内容包括:1. JavaScript语言特性,通过对比表格展示其与Java在类型系统、面向对象、执行方式等方面的本质区别;2. JavaScript在HTML中的使用方法,包括<script>标签的三种放置位置(head/body/外部文件);3. 四种常用输出方式(alert/write/innerHTML/console.log);4. 语法特性比较(变量声明、数据类型、函数定义等)等
安全防范方案
最新发布
huluang的专栏
08-15 955
防火墙通过GeoIP数据库封禁国外IP,需配置白名单防误封。
开源安全云盘存储:Hoodik 实现端到端数据加密,Docker快速搭建
baidu_24794635的博客
08-14 304
以下是对 Hoodik 的简单介绍: - Hoodik 是一个使用 Rust 和 Vue 开发的轻量级自托管安全云存储解决方案 - 采用了非对称RSA密钥对和AES混合加密策略,从文件存储加密到数据链路加密,全程保证数据安全 - 支持Docker一键私有部署,数据和服务自托管 - 该项目的开源代码地址参考:https://github.com/hudikhq/hoodik Docker快速部署与应用实践示例参考:https://blog.luler.top/d/72
加密货币交易所开发:如何打造安全、高发的数字资产交易平台?
Lovely_xwys的博客
08-14 832
**摘要:**2025年加密货币交易量激增,但安全与性能挑战仍存。顶级交易所通过三重防线(冷存储、MPC签名、零信任系统)保障资产安全,采用分层撮合架构(Rust引擎、弹性扩展)实现百万级交易处理。合规方面,动态引擎适配全球监管,AI反洗钱精准拦截风险。未来需布局量子加密与AI做市,平衡性能与成本。核心在于融合金融级安全、电竞级性能与法律级合规,构建下一代数字资产枢纽。
自动驾驶中安全相关机器学习功能的可靠性定义方法
NewCarRen的博客
08-13 1075
本文针对高自动化驾驶(HAD)中基于机器学习功能的安全标准空白展开研究。文章指出现有ISO 26262和SOTIF标准无法完全满足HAD需求,特别是神经网络的不透明性带来的验证挑战。作者提出"功能可靠性"概念,以行人检测为例构建了统计可靠性Rs和动态可靠性Rd的数学表达,通过精确率、召回率、IOU等指标量化功能质量。研究还探讨了传感器融合、算法优化等提高可靠性的方法。这项工作为HAD中机器学习功能的安全评估提供了新思路,建议行业共同建立验证数据集和关键参数标准,推动HAD安全标准的发展。
C语言+安全函数+非安全函数
m0_61973119的博客
08-15 180
例如,当我们将一个字符串要赋值到另一个数组中时,我们一般会使用C语言自带的strcpy函数,但是针对该函数的底层实现,仅仅只是傻瓜式的将源地址的数据存储到目的地址,不会注意缓冲区是否溢出,如果目的地址空间不够,那么相邻的地址的值会被改变,然后读取的数据不对,严重的可能会造成程序崩溃。而这更重要的一点就是始终检查边界、验证输入、启用编译器警告,需要让代码做到0警告,以后调用一些C语言函数时,可以先了解一下是否有安全函数,如果有就可以直接用,虽然这是一个小问题,但是会无意间增加代码的鲁棒性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值