A CrowdStrike két új, közepes súlyosságú sebezhetőséget hozott nyilvánosságra a Falcon Sensor for Windows komponensében – a világ egyik legszélesebb körben használt végpontvédelmi platformjában.
Bár ezek a hibák nem használhatók távoli kódfuttatásra vagy kezdeti behatolásra, komoly károkat okozhatnak egy már megtört rendszerben, például biztonsági naplók törlésével vagy védelmi komponensek leállításával.
A CrowdStrike azonnali javításokat és hotfixeket adott ki, és közölte, hogy nincs bizonyíték aktív kihasználásra a vadonban.
A sebezhetőségek technikai háttere
🧩 CVE-2025-42701 – Versenyhelyzet a fájlkezelésben
Az első hiba egy úgynevezett Time-of-Check to Time-of-Use (TOCTOU) versenyfeltétel, a CWE-367 kategóriába sorolva.
Ez akkor fordul elő, ha a szoftver ellenőrzi egy erőforrás (pl. fájl) állapotát, de annak felhasználásakor nem győződik meg arról, hogy azóta nem változott meg.
A Falcon Sensorban ez a rés időt adhat a támadónak arra, hogy a fájlrendszert manipulálja, és így a szenzor nem szándékos fájlokat töröljön.
📊 CVSS pontszám: 5.6 (közepes súlyosság).
💻 Érintett rendszer: Falcon Sensor for Windows – 7.24 előtti verziók.
✅ Javítás elérhető: verzió 7.24 és újabb, valamint minden LTV szenzor.
Ez a hiba nem érinti a macOS, Linux vagy Legacy szenzorokat, és a hibát a HackerOne bug bounty programban jelentették felelősségteljesen.
⚙️ CVE-2025-42706 – Logikai és forrás-ellenőrzési hiba
A második sebezhetőség logikai hibából ered (CWE-346), ahol a Falcon Sensor nem megfelelően ellenőrizte a fájlműveletek forrását.
Ennek következtében egy lokálisan futó rosszindulatú folyamat megtéveszthette a szenzort, hogy az töröljön olyan fájlokat is, amelyeket nem szabadna.
📊 CVSS pontszám: 6.5 (közepes–magas).
💻 Kihasználás feltétele: lokális kódfuttatási jogosultság.
🔐 Nem érintett: Falcon Sensor for Mac, Linux, Legacy.
Mindkét sebezhetőséget CrowdStrike mérnökei és a bug bounty program azonosította, így a bejelentéssel egyidőben javítás is megjelent, csökkentve a támadási ablakot.
A lehetséges hatás
Bár egyik hiba sem vezet közvetlenül rendszerfeltöréshez, komoly következményekkel járhatnak utólagos támadási fázisokban.
Egy már bejutott támadó ezeket kihasználva:
- törölheti a biztonsági naplókat,
- megszüntetheti a Falcon felügyeletét,
- vagy akár rendszerösszeomlást idézhet elő.
Ez a „force multiplier” hatás azt jelenti, hogy a sebezhetőségek meghosszabbíthatják a támadók jelenlétét a hálózatban, miközben elvakítják a védelmi rendszereket.
A CrowdStrike szerint jelenleg nincs ismert kihasználás, de a Threat Graph és OverWatch csapatai folyamatosan figyelik az esetleges kísérleteket.
Érintett verziók és platformok
🎯 Érintett: Falcon Sensor for Windows (7.23 és korábbi verziók)
🛡️ Nem érintett: macOS, Linux, Legacy szenzorok
A végleges javított verzió:
- Falcon Sensor for Windows 7.29 – mindkét sebezhetőséget véglegesen javítja.
Speciális környezetekhez (pl. Windows 7 / Server 2008 R2) a 7.16.18637 verzió biztosít védelmet.
Felfedezés és bejelentés
A hibákat a CrowdStrike belső biztonsági csapata és QA részlege azonosította, a HackerOne közösség támogatásával.
A vállalat koordinált közzétételt alkalmazott: a javítások azonnal elérhetőek voltak a bejelentés pillanatában, így nem nyílt időablak a támadók számára.
Ezzel a CrowdStrike iparági szintű legjobb gyakorlatot követett, és megőrizte az ügyfelek bizalmát.
Javasolt védekezés és teendők
🔹 1. Frissíts azonnal:
Minden Windows rendszerű Falcon Sensor-t frissíteni kell 7.29-re vagy újabbra.
🔹 2. Ellenőrizd az érintett buildet:
A Falcon konzolban futtatható query segít azonosítani a még sebezhető verziókat.
🔹 3. Teszteld a szenzorok működését:
Győződj meg róla, hogy a frissítés után is működik a naplózás, telemetria és riasztás.
🔹 4. Erősítsd a védekezési mélységet:
- Csökkentsd az admin jogosultságokat
- Monitorozd az arbitrary file deletion műveleteket
- Ellenőrizd rendszeresen a Falcon fájlintegritását
- Tarts naprakész és tesztelt biztonsági mentéseket
Tágabb biztonsági összefüggések
A végpontvédelmi (EDR) rendszerek az utóbbi években a támadások célpontjává váltak – hiszen ha a védelem elnémítható, a támadók „láthatatlanná” válnak.
A hasonló logikai és időzítési hibák más gyártóknál is előfordultak, ami azt mutatja, hogy a biztonsági eszközök maguk is potenciális támadási felületek.
A CrowdStrike belső felfedezése azonban érett biztonsági kultúrát jelez – a vállalat még a támadók előtt azonosította a hibákat, így megelőzhetővé vált a valódi kihasználás.
Összegzés
A CVE-2025-42701 és CVE-2025-42706 sebezhetőségek ugyan közepes besorolásúak, de komoly utólagos támadási potenciállal bírnak.
Rámutatnak arra, hogy a védekezés alapja nemcsak a megelőzés, hanem a láthatóság és a bizalom a védelmi eszközökben.
A CrowdStrike gyors reagálása – az egyidejű bejelentés és patch-kiadás – példamutató.
Minden Falcon Sensor-t használó szervezetnek azonnal frissítenie kell, és monitoroznia kell a fájlműveleti eseményeket.
A modern kiberbiztonság egyik alapigazsága:
a védelmi eszközök is sebezhetők, ha nem gondozzuk őket.
