محققان امنیتی تکنیک جدیدی به نام “Bring Your Own Installer” را کشف کرده‌اند که توسط مهاجمان برای دور زدن محافظت‌های SentinelOne و نصب باج‌افزار Babuk استفاده می‌شود. این روش از یک خلأ در فرآیند به‌روزرسانی ایجنت EDR سوءاستفاده می‌کند، به‌طوری که مهاجمان می‌توانند نصب‌کننده مشروع SentinelOne را اجرا کرده و سپس فرآیند نصب را به زور متوقف کنند، در نتیجه سرویس‌های ایجنت خاموش شده و دستگاه بدون محافظت باقی می‌ماند.

این حمله در حوادث واقعی باج‌افزار مشاهده شده و SentinelOne برای کاهش این تهدید توصیه کرده که کاربران ویژگی “Online Authorization” را که به‌طور پیش‌فرض غیرفعال است، فعال کنند. این تنظیم قبل از هرگونه به‌روزرسانی، کاهش نسخه یا حذف محلی ایجنت، نیاز به تأیید از کنسول مدیریت SentinelOne دارد. تیم Stroz Friedberg که این آسیب‌پذیری را کشف کرده، هشدار داده که این حمله روی نسخه‌های مختلف ایجنت SentinelOne موثر است و سایر فروشندگان EDR نیز از این یافته مطلع شده‌اند.