Des chercheurs d’AON ont démontré le 7 mai 2025 comment un pirate, après exploitation d’une faille applicative, a contourné la protection anti-tamper de l’EDR SentinelOne pour désinstaller l’agent Windows et déployer une variante du ransomware Babuk.
En exploitant la mise à niveau/ rétrogradation non authentifiée de l’agent, l’attaquant a neutralisé toute détection, laissant le serveur compromis à la merci du chiffrement malveillant.
SentinelOne a rapidement réagi : passphrase locale activée par défaut, authentification des mises à jour et renforcement de l’autorisation d’installation via sa console.
Mais, comme l’alerte Stroz Friedberg, ces correctifs ne sauraient remplacer une stratégie de défense en profondeur.
Face à l’évolution constante des méthodes de contournement, les sauvegardes régulières et isolées (physiquement hors ligne) demeurent le dernier rempart pour garantir la continuité d’activité.
Au-delà des correctifs instantanés, investir dans des solutions redondantes et tester fréquemment les procédures de restauration est aujourd’hui incontournable pour maîtriser le risque ransomware.
Crédits : Le Monde Informatique « L’EDR de SentinelOne neutralisé pour installer une variante du ransomware Babuk«