Ataque "Bring Your Own Installer" Explora o SentinelOne EDR: Uma Análise Detalhada
Nova Tática de Bypass de EDR "Bring Your Own Installer" Ameaça a Segurança de Endpoints
Uma técnica inovadora de ataque, apelidada de "Bring Your Own Installer" (BYOI), tem sido utilizada por cibercriminosos para contornar as defesas de soluções de Detecção e Resposta de Endpoint (EDR), especificamente mirando o produto da SentinelOne. Este método engenhoso permite que invasores desativem os agentes EDR e implantem ransomware, como o Babuk, deixando os sistemas vulneráveis.
A descoberta foi feita por pesquisadores da equipe de Resposta a Incidentes Stroz Friedberg da Aon, John Ailes e Tim Mashni, durante a investigação de um incidente de ransomware no início de 2025. O ataque se destaca por não depender de drivers de terceiros ou ferramentas maliciosas, mas sim por abusar do próprio instalador legítimo da SentinelOne.
Entendendo o Ataque "Bring Your Own Installer" (BYOI)
O cerne da técnica BYOI reside na exploração de uma janela de vulnerabilidade durante o processo de atualização ou downgrade do agente SentinelOne. Normalmente, o software EDR possui mecanismos de proteção contra adulteração que impedem a desativação não autorizada de seus processos. No entanto, durante uma atualização, o instalador encerra os processos existentes do agente antes de substituí-los pela nova versão.
Os invasores, já com acesso administrativo prévio ao sistema – obtido através da exploração de outras vulnerabilidades – executam um instalador legítimo do SentinelOne. Em um momento crítico, após os serviços de proteção serem desativados, mas antes da conclusão da instalação da nova versão, os atacantes forçam o encerramento do processo de instalação (msiexec.exe). Isso impede que os serviços de proteção sejam reativados, deixando o endpoint desprotegido temporariamente, mas tempo suficiente para a implantação do ransomware.
Testes realizados pela Stroz Friedberg demonstraram que essa técnica é eficaz em múltiplas versões do software da SentinelOne e não depende da versão específica instalada no momento do ataque. Após o encerramento bem-sucedido do instalador, o host afetado pode até desaparecer do console de gerenciamento da SentinelOne, indicando o sucesso da desativação da proteção.
O Papel do Instalador Legítimo da SentinelOne no Ataque
A originalidade e o perigo deste ataque residem no uso do próprio instalador da SentinelOne contra si mesmo. Ao contrário de outros métodos que introduzem componentes maliciosos, o BYOI manipula um processo legítimo e essencial para a manutenção do software de segurança. Os invasores foram observados utilizando diferentes versões de instaladores legítimos e assinados da SentinelOne, como o SentinelOneInstaller_windows_64bit_v23_4_4_223.exe e o SentinelInstaller_windows_64bit_v23_4_6_347.msi, para realizar o ataque.
Essa abordagem torna a detecção mais desafiadora, pois o uso de instaladores legítimos pode não levantar suspeitas imediatas nos sistemas de monitoramento que buscam por malwares conhecidos ou comportamentos explicitamente maliciosos.
Mitigação e Recomendações da SentinelOne
Em resposta à descoberta, a SentinelOne emitiu orientações para seus clientes sobre como mitigar essa ameaça. A principal recomendação é ativar a configuração "Autorização Online" (Online Authorization) nas políticas do sistema. Essa opção, que por padrão pode vir desativada, exige uma aprovação através do console de gerenciamento para qualquer tentativa de atualização, downgrade ou desinstalação do agente. Essa medida impede que o processo de instalação seja iniciado localmente sem a devida autorização, fechando a brecha explorada pelo ataque BYOI.
A Aon e a SentinelOne ressaltam a importância de os administradores de sistemas verificarem e ativarem essa configuração para garantir a proteção contra esse vetor de ataque. Adicionalmente, a SentinelOne compartilhou os detalhes da técnica com outros fornecedores de EDR para alertar a indústria sobre potenciais riscos similares.
Implicações Mais Amplas para a Segurança de Endpoints
O ataque "Bring Your Own Installer" serve como um lembrete crítico de que mesmo as soluções de segurança mais robustas podem ter vulnerabilidades em seus processos operacionais, como atualizações e instalações. Destaca também a importância de configurações de segurança rigorosas e da constante vigilância por parte das equipes de TI e segurança.
Embora a falha explorada seja específica da interação com o instalador da SentinelOne em configurações onde a "Autorização Online" não está habilitada, o conceito de abusar de ferramentas e processos legítimos é uma tática cada vez mais comum entre os cibercriminosos. Organizações devem revisar continuamente suas políticas de segurança, aplicar as recomendações dos fornecedores e monitorar de perto qualquer atividade anômala nos endpoints, mesmo aquelas que parecem envolver processos legítimos. A segurança é um processo contínuo de adaptação e fortalecimento contra um cenário de ameaças em constante evolução.
