Palo Alto Networks旗下的EDR系統存在漏洞,研究人員找到能對該資安系統進行竄改、控制受害電腦的方法
· 2024-04-25

研究人員去年發現Palo Alto Networks Cortex XDR的多項弱點,使得攻擊者能根據Lua及Python組態檔案找到其運作的規則並繞過,甚至有機會將其當作惡意程式

在成功繞過勒索體防護機制後,這名研究員試圖進行更多惡意攻擊,並進一步了解Cortex XDR會如何回應。

他藉由拆解該系統的組態規則,從而突破無法從記憶體挖掘LSASS處理程序的暫存檔lsass.dmp的限制。研究人員針對dse_rules_config.lua的元件進行調查,然後將他使用的工具ProcDump重新命名為listdlls,而能成功取得lsass.dmp,從而找出使用者帳密及安全憑證。

接下來,研究人員指出,他藉由硬連結(hard-linking)來突破Cortex XDR的檔案防竄改保護機制,從而利用存在弱點的驅動程式,進行自帶驅動程式(BYOVD)攻擊。

特別的是,在成功繞過防竄改防護機制後,研究人員對Cortex XDR的密碼保護機制進行「修補」,一旦設置成所有密碼都無效,就有可能導致該端點代理程式任何人都無法移除、修改。

雖然上述弱點已經相當恐怖,但研究人員指出,他還能將Cortex XDR當惡意程式來使用。

研究人員藉由更動LUA檔案的規則,從而導致Cortex XDR主程式cyserver當掉,然後藉由Python檔案注入惡意程式碼,並重新執行Cortex XDR的主程式,從而能以系統層級的權限對受害電腦進行後門存取。這麼做使得研究人員的惡意程式受到Cortex XDR「保護」,而能在無法被偵測的情況下,以最高權限並持續在受害電腦隱密地運作。

針對上述的漏洞,研究人員10個月前進行通報,Palo Alto透過自動更新予以修補。

熱門文章
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
英國確認各垂直行業的賭博稅稅率
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
首頁
遊戲
合作
發現
我的