Elastic製EDRにゼロデイがあるとの主張、Elasticは否定

佐々山 Tacos

2025.10.17

Elastic製EDRにゼロデイがあるとの主張、Elasticは否定

Cybersecuritynews[.]com – August 17, 2025

BleepingComputer – August 19, 2025

Elastic製EDRソリューションに見つかった新たなゼロデイ脆弱性により、セキュリティ措置をバイパスして悪意あるコードを実行し、BSODエラーを引き起こすことが可能になると、Ashes Cybersecurityの研究者が報告。しかしこの報告を受けて「徹底的な調査」を行ったElasticによれば、同研究者の主張を裏付ける証拠は見つからなかったという。

Ashes Cybersecurityによれば、問題のゼロデイはNULLポインタデリファレンスに関する脆弱性。具体的には、マイクロソフトによって署名されたElastic製EDRの正規カーネルドライバ「elastic-endpoint-driver.sys」が、特権カーネルルーチン内のメモリ操作を適切に処理できない問題だとされる。特定の条件下において、ユーザーモードで制御可能なポインタが適切な検証なしにカーネル関数に渡され、このポインタがNULLであるか解放済みであるか、または破損している場合、カーネルがこれを参照しようとしてシステム全体のクラッシュ（BSOD）を引き起こすという。

Ashes Cybersecurityが想定する攻撃はまず、攻撃者がカスタムローダーを使ってEDRをバイパスするところからスタート。EDRが無効化されると、検知されたりブロックされたりすることなくシステム上で有害なコードを実行できるようになる。その後攻撃者は、脆弱なドライバ（elastic-endpoint-driver.sys）とのインタラクトが可能なカスタムのカーネルドライバを展開して永続性を確保。最後に、特権状態で永続的なサービス拒否を起こさせてシステムを繰り返しクラッシュさせる流れだという。Ashes Cybersecurityの研究者らはカスタムビルドのPoCエクスプロイトを作成し、テスト環境でこの脆弱性をトリガーすることができた旨を報告している。

しかしAshes Cybersecurityが説明した上記の内容をElastic社が検証したところ、この脆弱性やその影響を再現することはできなかったという。同社は、ゼロデイとされるものに関するAshes Cybersecurityの報告者には「再現可能なエクスプロイトに関する証拠が欠けていた」と主張している。Ashes Cybersecurity自体はあえてPoCを共有しないことを選んだと語っているものの、Elasticは、協調的な開示の原則に従わず自らの主張を公表したとしてAshes Cybersecurityを非難した。

加えてElasticは、すべてのセキュリティ報告を真剣に受け止めていることを改めて強調した上で、2017年以降、同社のバグ報奨金プログラムを通じて研究者に支払われてきた報酬金額は$600,000を超えると説明している。