Selon Ashes Cybersecurity (billet de recherche du 21 août 2025), une vulnérabilité 0‑day dans le pilote kernel « elastic-endpoint-driver.sys » d’Elastic EDR permettrait une chaîne d’attaque complète aboutissant à un bypass EDR, de la RCE, de la persistance et un DoS privilégié provoquant un BSOD sur les hôtes protégés.

Le chercheur décrit une chaîne en quatre étapes: 1) contournement d’Elastic Agent/Elastic Defend via un loader C maison, 2) exécution de code à faible privilège sans détection, 3) persistance par chargement d’un pilote personnalisé interagissant avec « elastic-endpoint-driver.sys », 4) DoS persistant où le pilote d’Elastic adopte un comportement de type malveillant et peut rendre le système inutilisable 🚫.

Côté technique, le bug résiderait dans une mauvaise gestion mémoire au sein de routines kernel, avec passage d’un pointeur contrôlé par l’utilisateur sans validation, conduisant à un CWE‑476: Null Pointer Dereference. Le crash se produit lors d’un appel à « InsertKernelFunction » où RCX déréférence un pointeur utilisateur non vérifié, déclenchant un BSOD si le pointeur est NULL/libéré/corrompu. Le chercheur affirme pouvoir le reproduire de manière fiable via un driver personnalisé et un loader (PoC), y compris dans des activités « normales » (compilation, tentative d’injection de processus). Le pilote vulnérable est signé Microsoft.

L’impact revendiqué est élevé: risque pour les entreprises utilisant Elastic (SIEM + EDR), désactivation à distance d’endpoints à grande échelle, et effondrement de la confiance envers les pilotes signés. Le chercheur indique que le 0‑day est non patché à ce jour et « exploitable » en l’état. Chronologie: découverte le 2 juin 2025, tentatives de divulgation via HackerOne (11 juin) et ZDI (29 juillet), divulgation indépendante le 16 août. Produit affecté: « elastic-endpoint-driver.sys », version testée 8.17.6 (le post affirme que les versions ultérieures seraient aussi concernées en l’absence de correctif). Des mises à jour du billet mentionnent: « Elastic’s Statement is False » et une « Evidence of user‑mode crash » ainsi qu’« Ashes Cybersecurity Pvt Ltd. » comme client payant d’Elastic.

IOC et TTPs:

  • IOCs:
    • Fichier: elastic-endpoint-driver.sys
    • SHA‑256: A6B000E84CB68C5096C0FD73AF9CEF2372ABD591EC973A969F58A81CF1141337
  • TTPs:
    • Bypass EDR via loader personnalisé
    • RCE avec faible privilège et visibilité réduite
    • Persistance par pilote kernel personnalisé chargé au boot
    • DoS/BSOD via CWE‑476 (Null Pointer Dereference) dans le pilote signé

Type d’article: publication de recherche visant à divulguer un 0‑day et démontrer son impact.

🧠 TTPs et IOCs détectés

TTP

[‘Bypass EDR via loader personnalisé’, ‘RCE avec faible privilège et visibilité réduite’, ‘Persistance par pilote kernel personnalisé chargé au boot’, ‘DoS/BSOD via CWE-476 (Null Pointer Dereference) dans le pilote signé’]

IOC

[‘Fichier: elastic-endpoint-driver.sys’, ‘SHA-256: A6B000E84CB68C5096C0FD73AF9CEF2372ABD591EC973A969F58A81CF1141337’]

🔗 Source originale : https://ashes-cybersecurity.com/0-day-research/