Elastic製EDRに新たなRCEおよびDoSのゼロデイ、研究者が報告

佐々山 Tacos

2025.08.18

Elastic製EDRに新たなRCEおよびDoSのゼロデイ、研究者が報告

Cybersecuritynews[.]com – August 17, 2025

Elastic製EDRソリューションに見つかった新たなゼロデイ脆弱性により、セキュリティ措置をバイパスして悪意あるコードを実行し、BSODエラーを引き起こすことが可能になるという。Ashes Cybersecurityが報告した。

Ashes Cybersecurityによれば、問題のゼロデイはNULLポインタデリファレンスに関する脆弱性。具体的には、マイクロソフトによって署名されたElastic製EDRの正規カーネルドライバ「elastic-endpoint-driver.sys」が、特権カーネルルーチン内のメモリ操作を適切に処理できない問題だとされる。特定の条件下において、ユーザーモードで制御可能なポインタが適切な検証なしにカーネル関数に渡され、このポインタがNULLであるか解放済みであるか、または破損している場合、カーネルがこれを参照しようとしてシステム全体のクラッシュ（BSOD）を引き起こすという。

Ashes Cybersecurityが想定する攻撃はまず、攻撃者がカスタムローダーを使ってEDRをバイパスするところからスタート。EDRが無効化されると、検知されたりブロックされたりすることなくシステム上で有害なコードを実行できるようになる。その後攻撃者は、脆弱なドライバ（elastic-endpoint-driver.sys）とのインタラクトが可能なカスタムのカーネルドライバを展開して永続性を確保。最後に、特権状態で永続的なサービス拒否を起こさせてシステムを繰り返しクラッシュさせる流れだという。Ashes Cybersecurityの研究者らはカスタムビルドのPoCエクスプロイトを作成し、テスト環境でこの脆弱性をトリガーすることができた旨を報告している。

マイクロソフトに署名され、信頼されたカーネルドライバが上記のような武器に変えられてしまう恐れがあるという事実は、Elastic社のSIEM／EDRソリューションを利用する企業にとって重大リスクとなり得る。影響を受けるのはバージョン8.17.6のelastic-endpoint-driver.sysだとされるが、それ以降のバージョンも脆弱だろうと考えられている。パッチはまだリリースされていないとのこと。