Una vulnerabilidad de día cero recientemente descubierta en la solución de detección y respuesta de punto final de Elastic (EDR) permite a los atacantes evitar las medidas de seguridad, ejecutar código malicioso y activar un bloqueo del sistema BSOD, de acuerdo con la investigación de seguridad cibernética de cenizas.
La vulnerabilidad reside en un componente central del software de seguridad, convirtiendo efectivamente la herramienta defensiva en un arma contra los sistemas que está destinado a proteger.
La falla crítica se encontró en el “elástico-endpoint-driver.sys”, un controlador de núcleo firmado por Microsoft y desarrollado por Elasticsearch, Inc. Este controlador es una parte fundamental de las soluciones de seguridad de elastic Defend and Elastic Agent.
El investigador que descubrió la vulnerabilidad ha detallado una cadena de ataque de cuatro pasos que explota este defecto para lograr un compromiso completo del sistema.
El ataque comienza con un bypass EDR, donde un atacante puede usar un cargador personalizado para eludir las protecciones de seguridad de Elastic. Una vez que el EDR está cegado, el atacante puede proceder a la ejecución de código remoto (RCE), ejecutando código malicioso en el sistema sin ser detectado o bloqueado.
El tercer paso implica establecer la persistencia plantando un conductor de núcleo personalizado que pueda interactuar con el conductor elástico vulnerable. Finalmente, el atacante puede desencadenar una negación persistente privilegiada del servicio, lo que hace que el sistema se bloquee repetidamente y lo haga inutilizable.
Vulnerabilidad elástica EDR de 0 días
En el corazón de la vulnerabilidad hay un CWE-476: NULL POINTER DEEREFERT. Según la investigación de ciberseguridad de Ashes, el impulsor de “Elástico Driver.sys” maneja incorrectamente las operaciones de memoria dentro de sus rutinas de núcleo privilegiadas.
En ciertas condiciones, un puntero controlable desde el modo de usuario se pasa a una función del núcleo sin la validación adecuada. Si este puntero es nulo, ha sido liberado o está dañado, el núcleo intenta desreferirlo, lo que lleva a un accidente de todo el sistema, comúnmente conocido como la pantalla azul de la muerte (BSOD).
El investigador demostró que Esta vulnerabilidad no es solo un error teórico sino un exploit confiable y reproducible. Se utilizó una prueba de concepto personalizada, que consiste en un cargador basado en C y un controlador personalizado, para activar el defecto en condiciones controladas.
Esta prueba de concepto primero evita el EDR, carga el controlador personalizado, establece la persistencia, por lo que el controlador se vuelve a reiniciar y luego interactúa con el controlador elástico vulnerable para causar el BSOD.
Esto demuestra efectivamente que el controlador elástico en sí puede manipularse para exhibir un comportamiento similar al malware.
Las implicaciones de este día cero son severas para las empresas que dependen de los productos de seguridad de Elastic. Cada organización que usa las soluciones SIEM y EDR de Elastic podría estar albergando una vulnerabilidad que puede ser explotada de forma remota para deshabilitar sus puntos finales a escala.
Esta situación crea un riesgo significativo, ya que un conductor de núcleo firmado de confianza puede convertirse en un arma persistente y privilegiada.
El cronograma de descubrimiento para esta vulnerabilidad comenzó el 2 de junio de 2025. Después de estos intentos, se realizó una divulgación independiente el 16 de agosto de 2025.
El producto afectado es elastic-endpoint-driver.sys en la versión 8.17.6, aunque se cree que todas las versiones posteriores son vulnerables, ya que no se ha lanzado ningún parche.
El investigador señaló que la vulnerabilidad se descubrió durante las operaciones de prueba en modo de usuario y que su organización, Ashes CyberSecurity Pvt Ltd., es un cliente que paga de elástico. “Un defensor que bloquea, persianas o desactiva su propio sistema en el mando es indistinguible del malware”, declaró el investigador, destacando la erosión de la confianza que esto causa no solo en elastic sino en la industria de seguridad más amplia. Hasta que se emite un parche, los clientes permanecen expuestos a esta amenaza activa de día cero.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
