Cobalt Strike est une structure populaire de HelpSystems conçue pour des opérations Red Team. En même temps, nombre d'APT (Advanced Persistent Threats) et de personnes mal intentionnées y ont aussi recours. SentinelOne a déjà enregistré chez des clients d'innombrables attaques au moyen de ce qu'on appelle en jargon des Cobalt Strike Beacons. Même si ce type d'attaque est en général intercepté par l'agent SentinelOne, il y a des cas, où certains appareils ne sont pas sécurisés et peuvent donc être infectés.

Les serveurs C2 dans la ligne de mire

SentinelOne entend par conséquent mettre au point une nouvelle tactique de défense ciblant les attaques lancées contre les serveurs C2. C'est en l'occurrence sur ces serveurs qu'ont été découvertes plusieurs failles, rapportées dans CVE-2021-36798. CVE (Common Vulnerabilities and Exposures) est une banque de données contenant des informations sur des brèches dans des ordinateurs et réseaux.

Précédemment déjà, on avait observé une faille dans Cobalt Strike. En pratique, celle-ci permettait l'exécution d'un code externe sur un serveur. Comme le code du serveur est écrit en Java et n'est pas très long, le bug 'n'était pas si malaisé à trouver', selon SentinelOne. Le bug permettait à des personnes mal intentionnées de perturber la communication Beacon. Cela se traduisait en fin de compte par le plantage du webthread du serveur traitant les stagers http et la communication Beacon.

Même si Cobalt Strike est utilisé chaque jour pour des attaques mal intentionnées, il s'agit d'un produit légitime. Le développeur HelpSystems a par conséquent été informé des problèmes par SentinelOne et dans la prochaine mise à jour, les bugs en question devraient être corrigés.

En collaboration avec Dutch IT-channel.

Cobalt Strike est une structure populaire de HelpSystems conçue pour des opérations Red Team. En même temps, nombre d'APT (Advanced Persistent Threats) et de personnes mal intentionnées y ont aussi recours. SentinelOne a déjà enregistré chez des clients d'innombrables attaques au moyen de ce qu'on appelle en jargon des Cobalt Strike Beacons. Même si ce type d'attaque est en général intercepté par l'agent SentinelOne, il y a des cas, où certains appareils ne sont pas sécurisés et peuvent donc être infectés.SentinelOne entend par conséquent mettre au point une nouvelle tactique de défense ciblant les attaques lancées contre les serveurs C2. C'est en l'occurrence sur ces serveurs qu'ont été découvertes plusieurs failles, rapportées dans CVE-2021-36798. CVE (Common Vulnerabilities and Exposures) est une banque de données contenant des informations sur des brèches dans des ordinateurs et réseaux.Précédemment déjà, on avait observé une faille dans Cobalt Strike. En pratique, celle-ci permettait l'exécution d'un code externe sur un serveur. Comme le code du serveur est écrit en Java et n'est pas très long, le bug 'n'était pas si malaisé à trouver', selon SentinelOne. Le bug permettait à des personnes mal intentionnées de perturber la communication Beacon. Cela se traduisait en fin de compte par le plantage du webthread du serveur traitant les stagers http et la communication Beacon.Même si Cobalt Strike est utilisé chaque jour pour des attaques mal intentionnées, il s'agit d'un produit légitime. Le développeur HelpSystems a par conséquent été informé des problèmes par SentinelOne et dans la prochaine mise à jour, les bugs en question devraient être corrigés.En collaboration avec Dutch IT-channel.