SEC Consult 的安全研究人員在 CrowdStrike 的 Falcon Sensor 中發現了一個重大漏洞，允許攻擊者繞過檢測機制并執行惡意應用程序。

這個被稱為“睡美人”的漏洞最初于 2023 年底報告給 CrowdStrike，但被該公司簡單地視為“檢測漏洞”而駁回。

繞過檢測機制的技術細節

繞過檢測的技術并非試圖終止 EDR（終端檢測與響應）進程，而是暫停這些進程，從而為攻擊者提供了一個不受檢測的操作窗口。

研究人員發現，當攻擊者在 Windows 機器上獲得 NT AUTHORITY\SYSTEM 權限后，可以使用 Process Explorer 工具暫停 CrowdStrike Falcon Sensor 的進程。

雖然系統禁止終止這些進程，但令人驚訝的是，暫停這些進程是被允許的，從而導致了一個重大的安全漏洞。Process Explorer 工具可以毫無阻礙地暫停這些關鍵的安全進程。

漏洞的嚴重性及影響

對于依賴 CrowdStrike 進行終端保護的組織來說，此漏洞的影響十分嚴重。當 Falcon Sensor 進程被暫停時，通常會被終止或刪除的惡意應用程序可以自由執行并保留在磁盤上。

這種行為與 Microsoft Defender for Endpoint 等其他 EDR 解決方案形成鮮明對比，后者完全阻止了暫停進程的嘗試。

在概念驗證中，SEC Consult 展示了當傳感器進程被暫停時，像 winPEAS、Rubeus 和 Certipy 這類通常被 CrowdStrike 阻止的工具可以不受阻礙地運行。

此外，“winPEAS starts”和“winPEAS can perform enumeration tasks”文檔記錄了 winPEAS 在進程暫停狀態下成功執行并完成枚舉任務的情況。

漏洞的技術實現與防護措施

技術分析揭示了該漏洞的重要限制。在傳感器暫停時已經被 hook 的進程仍然受到 CrowdStrike 內核進程的監控。這意味著某些高風險操作，如 LSASS 內存轉儲，仍會觸發保護機制并導致惡意應用程序被移除。

盡管如此，這一安全漏洞仍為攻擊者提供了在受保護系統中站穩腳跟的足夠機會。

當研究人員恢復被暫停的進程時，CrowdStrike 會立即隔離并移除惡意工具，這證實了暫停進程確實繞過了正常的檢測協議。

起初，CrowdStrike 回應稱“這種行為不會在傳感器中造成安全漏洞”，并表示“暫停用戶模式服務并不會停止內核組件或傳感器通信”。然而，到了 2025 年，CrowdStrike 悄然實施了防止進程暫停的修復措施，實際承認了他們之前忽視的安全問題。

SEC Consult 是在后續的安全評估中偶然發現這一變化的，而非通過供應商的正式通知。