Nachdem Angreifer die Rechte eines Benutzers mit "NT AUTHORITY\SYSTEM" Berechtigungen erlangt haben, indem andere Schwachstellen oder Konfigurationsprobleme unter Microsoft Windows ausgenutzt wurden, können die Prozesse von CrowdStrike (CS) Falcon Sensor angehalten werden. Danach lassen sich potentiell bösartige Anwendungen lokal speichern und ausführen, welche üblicherweise direkt vom CrowdStrike Falcon-Sensor blockiert oder gelöscht werden. Dies führt zu einer teilweisen Umgehung der Erkennungsmechanismen von CS Falcon Sensor. SEC Consult meldete diese Thematik Ende 2023 an den Hersteller, aber uns wurde mitgeteilt, dass dies kein Sicherheitsproblem darstelle. Ein erneutes Review in 2025 ergab, dass dies nun doch behoben ist und unser englischer Blog Post liefert eine kurze Zusammenfassung unserer Erkenntnisse.
Nähere Details finden Sie in unserem englischen Blog Post.
Dieser Research wurde von Constantin Schieber-Knöbl und Stefan Schweighofer durchgeführt und der Blog Post mit Unterstützung von Werner Schober, Clemens Stockenreitner und Stephan Mikiss verfasst und im Auftrag des SEC Consult Vulnerability Lab veröffentlicht.