漏洞可能不是值得注意的,但是报告过程可能是
一家安全公司批评CrowdStrike在传感器缺陷报告后操作“荒谬”的漏洞赏金披露计划。
4月,瑞士安全分析师服务Modzero AG的合伙人Pascal Zenker发现了一个脆弱性在CrowdStrike Falcon传感器中,代理软件用于将数据传输到Falcon Endpoint安全平台。
漏洞被跟踪为CVE-2022-2841,允许攻击者利用并绕过用于卸载Windows设备上传感器的一次性令牌检查,从而切割安全事件数据流,并可能使机器易受恶意软件的进一步妥协。
该团队创建了一个自动概念验证(POC)工具来破坏传感器并忽略Falcon版本中的令牌检查6.31.14505.0和6.42.15610。
但是,攻击者已经需要管理员特权来实现此安全性旁路,从而将潜在的高风险脆弱性降级到低度问题。
MODZERO说这个错误但是,“脆弱性的总体风险非常有限”,但据称,CrowdStrike的回应值得评论,因此并不是“值得推文”。
该公司发推文说:“我们想阐明与CrowdStrike一起荒谬的脆弱性披露过程。”
第三方计划
根据安全咨询Modzero于周一发布(8月22日)预计,纳斯达克上市IT公司的清洁漏洞披露过程。然而,莫德泽罗说:“与CrowdStrike的沟通和披露最终变得乏味,最终变得不专业”。
Crowdstrike跑步它的漏洞赏金计划通过hackerone。争论的骨头似乎是CrowdStrike希望Modzero通过该计划提交漏洞。尽管如此,该公司不想同意该计划的条款,据说包括签署共同披露协议。
莫德泽罗(Modzero)表示,它要求在Hackerone之外进行直接安全联系,并在几个月的电子邮件之后,该公司于6月下旬与POC一起提交了安全咨询草案。
CrowdStrike表示,在最近的软件版本中,不可能复制错误。Modzero要求使用最新软件的试用版,据称该软件被拒绝。
“由于该问题无效,我们告知CrowdStrike,我们将向公众发布咨询。”
“In response, CrowdStrike tried again to set up a bug bounty disclosure meeting between ‘Modzero’s sr Leadership and CrowdStrike CISO [...] to discuss [the] next steps related to the bug bounty disclosure’ in contrast to our previously stated disclosure rules.”
Modzero表示,然后获得了该软件的最新版本,并验证了仍然存在的漏洞。但是,利用代码已被标记为恶意 - 所谓的更改很容易通过调整利用代码来纠正。
咨询发表
此后,Modzero发表了安全咨询,批评网络安全公司在其“ NDA-RIDDER BUG BOUNTY计划”之外的僵化。
“ [我们得出的结论] Crowdstrike试图在被告知问题时试图'解决'问题。这对我们来说是非常不尊重的。
当接触评论时,Crowdstrike指示我们一份声明在周一(8月22日)上发布在Reddit上,该链接链接到Modzero的咨询。
这家网络安全公司表示,主要问题是Microsoft安装程序(MSI)线束中的失败状况,并且已将问题报告给相关方。
根据公司的说法,控制它将需要远离MSI框架。脆弱性可能仅被利用借助专业软件,本地管理员访问,特权高程和端点重新启动。
CrowdStrike于7月通知客户。
CrowdStrike补充说:“检测逻辑也被添加到传感器中,以尝试检测该技术和类似技术。”“我们感谢Modzero的辛勤工作和对这一事件的披露。”
在本文发表后,CrowdStrike发言人Kevin Benacci告诉每日swbeplay2018官网ig:
我们想直接设置这种情况如何转移的记录。正如双方所说的那样,我们在收到他们在6月29日报告该问题后立即与Modzero订婚。正如Modzero所指出的那样,报告的问题与Microsoft的MSI实施有关,需要本地访问和管理特权。
7月8日,收到此初步报告的不到10天,我们通过技术警报(信用Modzero)通知了所有Falcon客户,随后我们向Microsoft报告了MSI错误。我们试图在7月初与Modzero进行对话,但无济于事,在过去的六个星期中,直到昨天他们出版博客时才听到他们的消息。根据行业最佳实践,我们致力于以积极和专业的方式与研究社区互动,以保护客户。
负责任且及时的披露是建立信任和支持安全社区的过程的重要组成部分,这就是为什么CrowdStrike与Hackerone等合作伙伴进行开放透明的漏洞赏金计划的原因。
每日swbeplay2018官网ig已经与Modzero联系了其他查询,我们会在回音时进行更新。
