A Elastic contestou publicamente alegações feitas pela empresa AshES Cybersecurity sobre uma suposta vulnerabilidade zero-day de execução remota de código (RCE) em sua solução Elastic Defend EDR. Segundo a Elastic, não há evidências técnicas que sustentem a existência dessa falha. Em publicação de 16 de agosto, a AshES afirmou ter encontrado uma falha de “derefenciação de ponteiro nulo” no driver elastic-endpoint-driver.sys, usado pelo Elastic Defender no kernel do Windows.
Segundo os pesquisadores, essa falha permitiria contornar a proteção do EDR, obter execução remota de código e manter persistência em sistemas comprometidos. Para respaldar a alegação, a AshES compartilhou dois vídeos: um mostrando um travamento do sistema causado pelo driver da Elastic e outro em que um processo malicioso, como a execução da calculadora do Windows (calc.exe), ocorre sem ser detectado pelo EDR. A Elastic, no entanto, afirmou que não conseguiu reproduzir nenhum dos comportamentos relatados. Equipes de engenharia e especialistas em segurança da empresa analisaram os dados enviados, mas não encontraram provas de exploração da falha ou impacto real sobre o produto.
A empresa ainda destacou que os pesquisadores se recusaram a compartilhar um proof of concept (PoC) funcional e completo, optando por divulgar publicamente suas descobertas em vez de seguir um processo de divulgação coordenada, como normalmente se espera na comunidade de segurança cibernética. Em resposta oficial publicada em 18 de agosto e atualizada no dia seguinte, a Elastic reforçou que não há motivo para preocupação por parte dos usuários, já que nenhuma vulnerabilidade foi confirmada. Por isso, nenhuma ação de mitigação é necessária no momento. A Elastic também lembrou que mantém desde 2017 um programa ativo de bug bounty, que já pagou mais de US$ 600 mil a pesquisadores que reportaram falhas legítimas de forma responsável.
