Una vulnerabilidad crítica en el agente de detección y respuesta de punto final de FireEyeye (EDR) que permite a un atacante inyectar código malicioso y hacer que las protecciones críticas de seguridad sean ineficaces.
La vulnerabilidad rastreada como CVE-2025-0618 se revela hoy, destacando los desafíos en curso para garantizar una plataforma de protección de punto final para actores de amenazas sofisticados.
FireEye EDR Agent DOS Vulnerabilidad
La vulnerabilidad recientemente identificada permite a terceros maliciosos invocar términos de servicio persistentes para el agente de FireEye EDR enviando un evento de protección de tamper especialmente creado al servicio HX. Esto desencadena una excepción en la lógica de procesamiento.
Los expertos en seguridad están particularmente preocupados porque esta excepción evita que se manejen más eventos de prevención de manipulación incluso después de un reinicio del sistema, lo que hace que los puntos finales sean vulnerables a ataques adicionales.
Esta vulnerabilidad es particularmente peligrosa porque se dirige directamente a los mecanismos de prevención de la manipulación diseñados para evitar que los atacantes deshabiliten las características de seguridad.
Esencialmente, un atacante puede apagar el sistema de alarma que de otro modo alerta al defensor de su presencia. Según la base de datos de vulnerabilidad, los productos afectados se identifican explícitamente como FireEye EDR HX versión 10.0.0.
Trellix, que actualmente posee la línea de productos FireEye, ha confirmado el problema y está trabajando en parches.
Factores de riesgo Detalles Productos Atejados La versión EDR HX 10.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. .0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
La prevención de Tamper es una característica de seguridad crítica diseñada para evitar que los actores de amenaza deshabiliten las medidas de seguridad que detectan su presencia.
Al funcionar correctamente, la prevención de manipulación garantiza que la configuración de seguridad clave esté habilitada, incluida la protección en tiempo real y la detección de amenazas.
Al enviar una carga útil especialmente creada a un controlador de eventos a prueba de manipulaciones, un atacante puede causar una excepción sin manejo que bloquea el mecanismo de manejo de eventos.
El código para explotar esta vulnerabilidad requiere un conocimiento detallado de la arquitectura del servicio HX y la implementación detallada a prueba de tamper.
Además, este defecto se clasifica como una vulnerabilidad de servicio permanente que afecta principalmente las capacidades de manejo de eventos de seguridad.
Los expertos en seguridad advierten que causa directamente una negación del servicio, pero podría conducir a la pérdida de datos a través de eventos que no se procesan indirectamente, dejando la actividad del atacante sin ser detectada.
Las organizaciones que utilizan agentes de FireEye EDR afectados se recomiendan muy recomendables para actualizar la última versión tan pronto como los parches estén disponibles.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
