SEC Consult 的安全研究人员在 CrowdStrike 的 Falcon Sensor 中发现了一个重大漏洞,允许攻击者绕过检测机制并执行恶意应用程序。
这个被称为“睡美人”的漏洞最初于 2023 年底报告给 CrowdStrike,但被该公司简单地视为“检测漏洞”而驳回。
绕过检测机制的技术细节
绕过检测的技术并非试图终止 EDR(终端检测与响应)进程,而是暂停这些进程,从而为攻击者提供了一个不受检测的操作窗口。
研究人员发现,当攻击者在 Windows 机器上获得 NT AUTHORITY\SYSTEM 权限后,可以使用 Process Explorer 工具暂停 CrowdStrike Falcon Sensor 的进程。
虽然系统禁止终止这些进程,但令人惊讶的是,暂停这些进程是被允许的,从而导致了一个重大的安全漏洞。Process Explorer 工具可以毫无阻碍地暂停这些关键的安全进程。
漏洞的严重性及影响
对于依赖 CrowdStrike 进行终端保护的组织来说,此漏洞的影响十分严重。当 Falcon Sensor 进程被暂停时,通常会被终止或删除的恶意应用程序可以自由执行并保留在磁盘上。
这种行为与 Microsoft Defender for Endpoint 等其他 EDR 解决方案形成鲜明对比,后者完全阻止了暂停进程的尝试。
在概念验证中,SEC Consult 展示了当传感器进程被暂停时,像 winPEAS、Rubeus 和 Certipy 这类通常被 CrowdStrike 阻止的工具可以不受阻碍地运行。
此外,“winPEAS starts”和“winPEAS can perform enumeration tasks”文档记录了 winPEAS 在进程暂停状态下成功执行并完成枚举任务的情况。
漏洞的技术实现与防护措施
技术分析揭示了该漏洞的重要限制。在传感器暂停时已经被 hook 的进程仍然受到 CrowdStrike 内核进程的监控。这意味着某些高风险操作,如 LSASS 内存转储,仍会触发保护机制并导致恶意应用程序被移除。
尽管如此,这一安全漏洞仍为攻击者提供了在受保护系统中站稳脚跟的足够机会。
当研究人员恢复被暂停的进程时,CrowdStrike 会立即隔离并移除恶意工具,这证实了暂停进程确实绕过了正常的检测协议。
起初,CrowdStrike 回应称“这种行为不会在传感器中造成安全漏洞”,并表示“暂停用户模式服务并不会停止内核组件或传感器通信”。然而,到了 2025 年,CrowdStrike 悄然实施了防止进程暂停的修复措施,实际承认了他们之前忽视的安全问题。
SEC Consult 是在后续的安全评估中偶然发现这一变化的,而非通过供应商的正式通知。
