Situation
In der dynamischen Welt der Cybersicherheit wurde eine bislang unbekannte Angriffsmethode entdeckt, die als „Bring Your Own Installer“ bezeichnet wird. Diese Angriffstechnik zielt auf falsch konfigurierte Installationen der Sicherheitssoftware SentinelOne ab, die eigentlich Endgeräte gegen Bedrohungen schützen soll. Das Forschungsteam bemerkte während eines Vorfalls, dass Angreifer es schafften, die Schutzmechanismen der Software auszuhebeln, indem sie das Upgrade- und Downgrade-Verfahren ausnutzten. Im praktischen Test fiel auf, dass dadurch der Schutz zeitweise deaktiviert wurde, was den Angreifern Tür und Tor öffnete.
Problem
Das Herzstück des Angriffs liegt in einer Schwäche des Upgrade-Systems: Die Anti-Manipulations-Sperre, die normalerweise nur über die Admin-Oberfläche oder einen speziellen Code deaktiviert werden kann, wurde durch einen Umweg umgangen. Angreifer verschafften sich Administratorrechte, indem sie eine bekannte Schwachstelle in einer anderen Anwendung ausnutzten. Mit einem älteren MSI-Installer konnten sie die bestehende SentinelOne-Installation stoppen und ein Downgrade starten, wodurch ein kurzes Zeitfenster entstand, in dem das System völlig ungeschützt war. Genau in diesem Moment griffen sie ein, beendeten den Installationsprozess manuell und sorgten so dafür, dass keine Sicherheitsprozesse mehr liefen.
Lösung
Um auf diesen Vorfall zu reagieren, hat SentinelOne ein wichtiges Update bereitgestellt, das einen neuen Schalter namens Local Upgrade Authorization einführt. Mit dieser Funktion wird sichergestellt, dass Upgrades und Downgrades nur noch nach Freigabe über die zentrale Verwaltungskonsole durchgeführt werden können. Zusätzlich empfiehlt SentinelOne, die bereits aktivierte lokale Agenten-Passphrase zu nutzen, die unerlaubte Änderungen am Agenten verhindert. Für bestehende Kunden sind diese Schutzmechanismen allerdings nicht automatisch aktiviert, da Rücksicht auf bestehende Abläufe (z. B. SCCM) genommen wurde — SentinelOne ermutigt deshalb Bestandskunden, die neuen Funktionen manuell zu aktivieren.
Fazit
Der entdeckte Angriff verdeutlicht, wie wichtig es ist, auch scheinbar kleine Konfigurationsdetails ernst zu nehmen. Ohne ordnungsgemäße Einstellungen bleibt selbst eine robuste Sicherheitslösung verwundbar. SentinelOne hat schnell gehandelt und sowohl ein Update als auch Empfehlungen veröffentlicht, um Kunden vor diesem Missbrauch zu schützen. Für Unternehmen ist es jetzt entscheidend, diese Schutzmechanismen zu überprüfen und anzupassen, um sicherzustellen, dass ihre EDR-Lösung (Endpoint Detection and Response) den aktuellen Bedrohungen gewachsen ist.
#fraud #fraudprevention #betrugspraevention #suhlingtooling