Intelligence de données générative

Cyber sécurité

Evil XDR : un chercheur transforme le logiciel Palo Alto en un logiciel malveillant parfait

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

Un exploit créatif du logiciel étendu de détection et de réponse (XDR) de Palo Alto Networks aurait pu permettre aux attaquants de le manipuler comme un multi-outil malveillant.

In un briefing à Black Hat Asia cette semaine, Shmuel Cohen, chercheur en sécurité chez SafeBreach, a décrit comment il a non seulement procédé à une ingénierie inverse et piraté le produit Cortex emblématique de l'entreprise, mais l'a également utilisé pour déployer un shell inversé et un ransomware.

Toutes les faiblesses associées à son exploit, sauf une, ont depuis été réparées par Palo Alto. On ne sait pas encore si d’autres solutions XDR similaires sont vulnérables à une attaque similaire.

Une aubaine du diable en matière de cybersécurité

Il existe un marché du diable incontournable lorsqu'il s'agit d'utiliser certains types d'outils de sécurité de grande envergure. Pour que ces plateformes puissent faire leur travail, elles doivent bénéficier d’un accès hautement privilégié à tous les coins et recoins d’un système.

Par exemple, pour effectuer surveillance en temps réel et détection des menaces dans les écosystèmes informatiques, XDR exige les autorisations les plus élevées possibles et l’accès à des informations très sensibles. Et, pour démarrer, il ne peut pas être facilement supprimé. C’est cet immense pouvoir exercé par ces programmes qui a inspiré à Cohen une idée tordue.

« Je me suis dit : serait-il possible de transformer une solution EDR elle-même en malware ? Cohen raconte à Dark Reading. "Je prendrais toutes ces choses que possède le XDR et les utiliserais contre l'utilisateur."

Après avoir choisi un sujet de laboratoire – Cortex – il a commencé à procéder à une ingénierie inverse de ses différents composants, essayant de comprendre comment il définissait ce qui est malveillant et ce qui ne l'est pas.

Une ampoule s'est allumée lorsqu'il a découvert une série de fichiers en clair sur lesquels le programme s'appuyait plus que la plupart.

Comment transformer XDR Evil

"Mais ces règles sont dans mon ordinateur", pensa Cohen. « Que se passerait-il si je les supprimais manuellement ? »

Il s’est avéré que Palo Alto y avait déjà pensé. Un mécanisme anti-falsification empêchait tout utilisateur de toucher ces précieux fichiers Lua, sauf que le mécanisme avait un talon d'Achille. Cela a fonctionné en protégeant non pas chaque fichier Lua individuel par son nom, mais le dossier qui les encapsulait tous. Pour atteindre les fichiers qu'il souhaitait, il n'aurait donc pas besoin de défaire le mécanisme anti-falsification, s'il pouvait simplement réorienter le chemin utilisé pour les atteindre et contourner complètement le mécanisme.

Un simple raccourci n'aurait probablement pas suffi, c'est pourquoi il a utilisé un lien physique : la manière dont l'ordinateur relie un nom de fichier aux données réelles stockées sur un disque dur. Cela lui a permis de pointer son propre nouveau fichier vers le même emplacement sur le disque que les fichiers Lua.

"Le programme ne savait pas que ce fichier pointait vers le même emplacement du disque dur que le fichier Lua d'origine, ce qui m'a permis de modifier le fichier de contenu original", explique-t-il. «J'ai donc créé un lien physique vers les fichiers, modifié et supprimé certaines règles. Et j’ai vu qu’en les supprimant – et en faisant une autre petite chose qui a amené l’application à charger de nouvelles règles – je pouvais charger un pilote vulnérable. Et à partir de là, tout l’ordinateur était à moi.

Après avoir pris le contrôle total de son attaque de preuve de concept, Cohen se souvient : « Ce que j'ai fait en premier, c'est de changer le mot de passe de protection du XDR afin qu'il ne puisse pas être supprimé. J'ai également bloqué toute communication avec ses serveurs.

Pendant ce temps, « tout semble fonctionner. Je peux cacher les activités malveillantes à l'utilisateur. Même pour une action qui aurait été empêchée, le XDR ne fournira pas de notification. L'utilisateur du point final verra les marques vertes indiquant que tout va bien, tandis qu'en dessous j'exécute mon malware.

Le malware qu’il a décidé d’exécuter était, dans un premier temps, un shell inversé, permettant un contrôle total sur la machine ciblée. Il a ensuite déployé avec succès un ransomware, juste sous le nez du programme.

La solution que Palo Alto n’a pas apportée

Palo Alto Networks a été réceptif aux recherches de Cohen, travaillant en étroite collaboration avec lui pour comprendre l'exploit et développer des correctifs.

Il y avait cependant une vulnérabilité dans sa chaîne d'attaque qu'ils ont choisi de laisser telle quelle : le fait que les fichiers Lua de Cortex sont entièrement stockés en texte clair, sans aucun cryptage, malgré leur nature hautement sensible.

Cela semble alarmant, mais la réalité est que le cryptage ne dissuaderait pas vraiment les attaquants. Après avoir discuté de la question, lui et la société de sécurité ont convenu qu'ils n'avaient pas besoin de changer cela. Comme il le note : « Le XDR doit finalement comprendre quoi faire. Ainsi, même s’il est crypté, il devra à un moment donné de son fonctionnement décrypter ces fichiers afin de les lire. Les attaquants pourraient alors simplement capturer le contenu des fichiers. Ce serait une étape de plus pour moi afin de lire ces fichiers, mais je peux toujours les lire.

Il dit également que d'autres plates-formes XDR sont probablement sensibles au même type d'attaque.

"D'autres XDR mettront cela en œuvre différemment, peut-être", dit-il. « Peut-être que les fichiers seront cryptés. Mais peu importe ce qu’ils font, je peux toujours l’éviter.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.

Discutez avec nous

Salut! Comment puis-je t'aider?