在成功繞過勒索體防護機制後，這名研究員試圖進行更多惡意攻擊，並進一步了解Cortex XDR會如何回應。

他藉由拆解該系統的組態規則，從而突破無法從記憶體挖掘LSASS處理程序的暫存檔lsass.dmp的限制。研究人員針對dse_rules_config.lua的元件進行調查，然後將他使用的工具ProcDump重新命名為listdlls，而能成功取得lsass.dmp，從而找出使用者帳密及安全憑證。

接下來，研究人員指出，他藉由硬連結（hard-linking）來突破Cortex XDR的檔案防竄改保護機制，從而利用存在弱點的驅動程式，進行自帶驅動程式（BYOVD）攻擊。

特別的是，在成功繞過防竄改防護機制後，研究人員對Cortex XDR的密碼保護機制進行「修補」，一旦設置成所有密碼都無效，就有可能導致該端點代理程式任何人都無法移除、修改。

雖然上述弱點已經相當恐怖，但研究人員指出，他還能將Cortex XDR當惡意程式來使用。

研究人員藉由更動LUA檔案的規則，從而導致Cortex XDR主程式cyserver當掉，然後藉由Python檔案注入惡意程式碼，並重新執行Cortex XDR的主程式，從而能以系統層級的權限對受害電腦進行後門存取。這麼做使得研究人員的惡意程式受到Cortex XDR「保護」，而能在無法被偵測的情況下，以最高權限並持續在受害電腦隱密地運作。

針對上述的漏洞，研究人員10個月前進行通報，Palo Alto透過自動更新予以修補。