Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

Palo Alto Networks旗下的EDR系統存在漏洞,研究人員找到能對該資安系統進行竄改、控制受害電腦的方法

Share

2024-04-25

研究人員去年發現Palo Alto Networks Cortex XDR的多項弱點,使得攻擊者能根據Lua及Python組態檔案找到其運作的規則並繞過,甚至有機會將其當作惡意程式

在成功繞過勒索體防護機制後,這名研究員試圖進行更多惡意攻擊,並進一步了解Cortex XDR會如何回應。

他藉由拆解該系統的組態規則,從而突破無法從記憶體挖掘LSASS處理程序的暫存檔lsass.dmp的限制。研究人員針對dse_rules_config.lua的元件進行調查,然後將他使用的工具ProcDump重新命名為listdlls,而能成功取得lsass.dmp,從而找出使用者帳密及安全憑證。

接下來,研究人員指出,他藉由硬連結(hard-linking)來突破Cortex XDR的檔案防竄改保護機制,從而利用存在弱點的驅動程式,進行自帶驅動程式(BYOVD)攻擊。

特別的是,在成功繞過防竄改防護機制後,研究人員對Cortex XDR的密碼保護機制進行「修補」,一旦設置成所有密碼都無效,就有可能導致該端點代理程式任何人都無法移除、修改。

雖然上述弱點已經相當恐怖,但研究人員指出,他還能將Cortex XDR當惡意程式來使用。

研究人員藉由更動LUA檔案的規則,從而導致Cortex XDR主程式cyserver當掉,然後藉由Python檔案注入惡意程式碼,並重新執行Cortex XDR的主程式,從而能以系統層級的權限對受害電腦進行後門存取。這麼做使得研究人員的惡意程式受到Cortex XDR「保護」,而能在無法被偵測的情況下,以最高權限並持續在受害電腦隱密地運作。

針對上述的漏洞,研究人員10個月前進行通報,Palo Alto透過自動更新予以修補。

Disclaimer:
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+