O CrowdStrike Falcon é uma solução de detecção e resposta de endpoint (EDR) e antivírus (AV) baseada em nuvem. Em cada dispositivo final, um sensor gerenciado no nível do kernel é implantado e faz uso dos recursos baseados em nuvem. O sensor pode ser configurado com uma proteção contra desinstalação. Ele evita a desinstalação do sensor CrowdStrike Falcon no dispositivo final sem um token gerado uma única vez.
A exploração dessa vulnerabilidade permite que um invasor com privilégios administrativos ignore a verificação de token nos dispositivos finais do Windows e desinstale o sensor do dispositivo sem a devida autorização, removendo efetivamente a proteção EDR e AV do dispositivo.
Versão do sensor vulnerável: 6.44.15806
https://github.com/purplededa/CVE-2022- … ninstaller