این تکنیک توسط محققای AON در جریان بررسی یک رخداد امنیت سایبری کشف شده که در اون بازیگران تهدید با استفاده از این تکنیک، EDR SentinelOne رو دور میزدن و باج افزار Babuk رو نصب میکردن.

تکنیک اینجوریه که برای بروزرسانی یا بازگشت به نسخه های پایین، فایل نصب MSI برای SentinelOne رو اجرا میکنن. هنگام اجرای این فایل، ویندوز از msiexec.exe برای نصب استفاده میکنه. موقع نصب تقریبا به مدت 55 ثانیه، همه ی پروسس های SentinelOne متوقف میشه تا فرایند نصب تکمیل بشه. در نتیجه سیستم در این مدت، عملا بدون محافظ هستش.

بازیگران تهدید از این ویژگی استفاده کردن و با متوقف کردن msiexec.exe فرایند بروزرسانی رو مختل میکنن و باج افزار روی سیستم نصب میکنن.

این حمله رو به SentinelOne گزارش دادن و این شرکت این آسیب پذیری رو تایید کرده و گفته که تکنیکهای مشابهی میتونه سایر EDRهارو هم تهدید کنه.

برای حل این مشکل فعال کردن پسورد بصورت پیش فرض برای حذف و ویژگی Local Upgrade Authorization برای تایید از طریق کنسول SentinelOne رو پیشنهاد دادن.

سوء استفاده از نصب کننده ها چیز جدیدی نیست اما قبلا ازشون برای انتقال فایل به سیستم قربانی در جاهای حساسی مانند درایو C استفاده میکردن.