安全研究人员抨击“荒谬”的CrowdStrike漏洞披露做法

一家安全公司批评CrowdStrike在收到传感器缺陷报告后实施了一项“荒谬的”漏洞赏金披露计划。4月,瑞士安全分析服务机构Modzero AG的合作伙伴Pascal Zenker在CrowdStrike Falcon Sensor中发现了一个漏洞,该代理软件用于将数据传输到Falcon端点安全平台。该漏洞被跟踪为CVE-2022-2841,允许攻击者利用并绕过用于卸载Windows设备上的传感器的一次性生成的令牌检查,从而切断安全事件数据流,并可能使机器容易受到恶意软件的进一步攻击。该团队创建了一个自动概念验证(PoC)工具来破坏传感器并忽略Falcon版本6.31.14505.0和6.42.15610中的令牌检查。然而,攻击者已经需要管理员权限来实现这种安全绕过,从而将潜在的高风险漏洞归为低严重性问题。Modzero表示,该漏洞“不值得发推”,因为“漏洞的总体风险非常有限”,但CrowdStrike的所谓回应值得评论。“我们希望通过CrowdStrike揭示一个荒谬的漏洞披露过程,”该公司在推特上写道。

根据8月22日发布的安全公告,Modzero预计这家在纳斯达克上市的 IT 公司会进行清晰的漏洞披露流程。然而,Modzero表示“与CrowdStrike的沟通和披露很乏味,最终变得不专业”。

CrowdStrike通过HackerOne运行一个漏洞赏金计划。争论的焦点似乎是CrowdStrike希望Modzero通过该程序提交漏洞。尽管如此,该公司仍不想同意该计划的条款,据说其中包括签署相互保密协议。

Modzero表示,它要求与HackerOne之外的直接安全联系,经过数月的电子邮件,该公司在6月下旬提交了一份安全咨询草案以及一份PoC。

CrowdStrike表示,在更新的软件版本上无法复制错误。Modzero要求提供最新软件的试用版,据称遭到拒绝。

“由于该问题被认为无效,我们通知CrowdStrike,我们将向公众发布该建议,”Modzero评论道。

“作为回应,CrowdStrike再次尝试在‘Modzero的高级领导层和CrowdStrike CISO之间召开漏洞赏金披露会议,以讨论与漏洞赏金披露相关的后续步骤',这与我们之前声明的披露规则形成鲜明对比。 。”

Modzero表示,它随后获得了该软件的最新版本,并验证该漏洞仍然存在。然而,漏洞利用代码已被标记为恶意 - 一个所谓的更改很容易通过调整漏洞利用代码来纠正。

此后,Modzero发布了安全公告,批评这家网络安全公司在其“充满NDA的漏洞赏金计划”之外不灵活。

“[我们得出结论]CrowdStrike在被告知该问题不存在的情况下试图“解决”该问题。这对我们非常不尊重,”Modzero评论道。

当被要求发表评论时,CrowdStrike指示我们查看8月22日在Reddit上发布的一份声明,该声明链接回Modzero的咨询。

这家网络安全公司表示,主要问题是Microsoft Installer (MSI)线束中的故障打开情况,该问题已报告给相关方。

据该公司称,控制它需要远离MSI框架。该漏洞只能通过专用软件、本地管理员访问、权限提升和端点重启来利用。

CrowdStrike在7月份通知了客户。

“检测逻辑也被添加到传感器中,以尝试检测这种技术和类似技术,”CrowdStrike补充道。“我们感谢Modzero的辛勤工作和对这一事件的披露。”

发表评论

评论已关闭。

相关文章