研究人员绕过 CrowdStrike Falcon 传感器执行恶意应用程序
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
SEC Consult 发现 CrowdStrike Falcon Sensor 存在重大漏洞,攻击者可通过暂停进程绕过检测,执行恶意程序。该漏洞影响依赖该系统的组织,允许恶意软件在未被检测的情况下运行。尽管 CrowdStrike 最初否认漏洞,但在 2025 年实施了修复措施。
🎯
关键要点
- SEC Consult 发现 CrowdStrike Falcon Sensor 存在重大漏洞,攻击者可通过暂停进程绕过检测。
- 该漏洞被称为“睡美人”,最初于 2023 年底报告给 CrowdStrike,但被视为“检测漏洞”而驳回。
- 攻击者在获得 NT AUTHORITY\SYSTEM 权限后,可以使用 Process Explorer 工具暂停 Falcon Sensor 的进程。
- 暂停进程允许恶意应用程序在未被检测的情况下执行,影响依赖 CrowdStrike 的组织。
- 与其他 EDR 解决方案相比,CrowdStrike 的漏洞使得恶意工具可以在进程暂停时运行。
- 技术分析显示,虽然某些高风险操作仍会被监控,但攻击者仍有机会在系统中立足。
- CrowdStrike 最初否认漏洞,但在 2025 年实施了修复措施,承认了安全问题。
- SEC Consult 在后续评估中偶然发现了这一变化,而非通过供应商的正式通知。
❓
延伸问答
CrowdStrike Falcon Sensor 的漏洞是什么?
CrowdStrike Falcon Sensor 存在一个被称为“睡美人”的漏洞,攻击者可以通过暂停进程绕过检测,执行恶意程序。
攻击者如何利用这个漏洞?
攻击者在获得 NT AUTHORITY\SYSTEM 权限后,可以使用 Process Explorer 工具暂停 Falcon Sensor 的进程,从而执行恶意应用程序。
这个漏洞对依赖 CrowdStrike 的组织有什么影响?
该漏洞允许恶意应用程序在未被检测的情况下执行,严重影响依赖 CrowdStrike 进行终端保护的组织的安全。
CrowdStrike 对这个漏洞的初步反应是什么?
CrowdStrike 最初否认该漏洞,称“这种行为不会在传感器中造成安全漏洞”。
CrowdStrike 是何时修复这个漏洞的?
CrowdStrike 在 2025 年实施了修复措施,承认了之前忽视的安全问题。
与其他 EDR 解决方案相比,CrowdStrike 的漏洞有什么不同?
与 Microsoft Defender for Endpoint 等其他 EDR 解决方案不同,CrowdStrike 允许暂停进程,从而使恶意工具可以在此期间运行。
➡️
