研究人员绕过 CrowdStrike Falcon 传感器执行恶意应用程序
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
SEC Consult 发现 CrowdStrike Falcon Sensor 存在重大漏洞,攻击者可通过暂停进程绕过检测,执行恶意程序。该漏洞影响依赖该系统的组织,允许恶意软件在未被检测的情况下运行。尽管 CrowdStrike 最初否认漏洞,但在 2025 年实施了修复措施。
🎯
关键要点
- SEC Consult 发现 CrowdStrike Falcon Sensor 存在重大漏洞,攻击者可通过暂停进程绕过检测。
- 该漏洞被称为“睡美人”,最初于 2023 年底报告给 CrowdStrike,但被视为“检测漏洞”而驳回。
- 攻击者在获得 NT AUTHORITY\SYSTEM 权限后,可以使用 Process Explorer 工具暂停 Falcon Sensor 的进程。
- 暂停进程允许恶意应用程序在未被检测的情况下执行,影响依赖 CrowdStrike 的组织。
- 与其他 EDR 解决方案相比,CrowdStrike 的漏洞使得恶意工具可以在进程暂停时运行。
- 技术分析显示,虽然某些高风险操作仍会被监控,但攻击者仍有机会在系统中立足。
- CrowdStrike 最初否认漏洞,但在 2025 年实施了修复措施,承认了安全问题。
- SEC Consult 在后续评估中偶然发现了这一变化,而非通过供应商的正式通知。
➡️
