Un exploit creativo del software XDR (Extended Detection and Response) di Palo Alto Networks avrebbe potuto consentire agli aggressori di trasformarlo in un multitool dannoso.
In un briefing al Black Hat Asia questa settimana, Shmuel Cohen, ricercatore di sicurezza presso SafeBreach, ha descritto come non solo ha effettuato il reverse engineering e si è intromesso nel prodotto Cortex esclusivo dell'azienda, ma lo ha anche utilizzato come arma per distribuire una reverse shell e un ransomware.
Tutti i punti deboli associati alla sua impresa, tranne uno, sono stati riparati da Palo Alto. Non è ancora chiaro se altre soluzioni XDR simili siano vulnerabili a un attacco simile.
Un patto con il diavolo nella sicurezza informatica
C'è un inevitabile patto con il diavolo quando si tratta di utilizzare determinati tipi di strumenti di sicurezza di vasta portata. Affinché queste piattaforme possano svolgere il proprio lavoro, è necessario garantire loro un accesso carta bianca altamente privilegiato in ogni angolo del sistema.
Ad esempio, per esibirsi monitoraggio in tempo reale e rilevamento delle minacce in tutti gli ecosistemi IT, XDR richiede le massime autorizzazioni possibili e l'accesso a informazioni molto sensibili. E, per giunta, non può essere rimosso facilmente. È stato questo immenso potere esercitato da questi programmi a ispirare in Cohen un'idea contorta.
"Ho pensato: sarebbe possibile trasformare una soluzione EDR in un malware?" Cohen racconta a Dark Reading. "Prenderei tutte queste cose di cui dispone l'XDR e le userei contro l'utente."
Dopo aver scelto un soggetto di laboratorio, Cortex, ha iniziato a decodificare i suoi vari componenti, cercando di capire come definisse cosa è e cosa non è dannoso.
Una lampadina si accese quando scoprì una serie di file di testo in chiaro su cui il programma faceva più affidamento.
Come rendere XDR malvagio
"Ma quelle regole sono dentro il mio computer", pensò Cohen. "Cosa accadrebbe se li rimuovessi manualmente?"
Si è scoperto che Palo Alto ci aveva già pensato. Un meccanismo anti-manomissione impediva a qualsiasi utente di toccare quei preziosi file Lua, tranne che il meccanismo aveva un tallone d'Achille. Funzionava proteggendo non ogni singolo file Lua per nome, ma la cartella che li incapsulava tutti. Per raggiungere i file che desiderava, quindi, non avrebbe dovuto annullare il meccanismo anti-manomissione, se solo avesse potuto riorientare il percorso utilizzato per raggiungerli e bypassare del tutto il meccanismo.
Una semplice scorciatoia probabilmente non sarebbe stata sufficiente, quindi ha utilizzato un collegamento fisico: il modo in cui il computer collega un nome di file con i dati effettivi memorizzati su un disco rigido. Ciò gli ha permesso di indirizzare il suo nuovo file nella stessa posizione sull'unità dei file Lua.
"Il programma non era a conoscenza del fatto che questo file puntava alla stessa posizione nel disco rigido del file Lua originale e questo mi ha permesso di modificare il file del contenuto originale", spiega. “Così ho creato un collegamento fisico ai file, modificato e rimosso alcune regole. E ho visto che mentre li rimuovevo (e facevo un'altra piccola cosa che faceva caricare nuove regole nell'app) potevo caricare un driver vulnerabile. E da lì, l’intero computer era mio.”
Dopo aver assunto il controllo completo del suo attacco proof of concept, Cohen ricorda: “Quello che ho fatto per prima cosa è stato cambiare la password di protezione sull'XDR in modo che non potesse essere rimossa. Ho anche bloccato qualsiasi comunicazione ai suoi server."
Intanto “sembra che tutto funzioni. Posso nascondere le attività dannose all'utente. Anche per un'azione che sarebbe stata impedita, l'XDR non fornirà alcuna notifica. L'utente dell'endpoint vedrà i segni verdi che indicano che è tutto a posto, mentre sotto sto eseguendo il mio malware."
Il malware che ha deciso di eseguire era innanzitutto una shell inversa, che consentiva il pieno controllo della macchina presa di mira. Poi ha distribuito con successo il ransomware, proprio sotto il naso del programma.
La soluzione a Palo Alto non è riuscita
Palo Alto Networks è stato ricettivo alla ricerca di Cohen, lavorando a stretto contatto con lui per comprendere l'exploit e sviluppare soluzioni.
C'era una vulnerabilità nella sua catena di attacco, tuttavia, che hanno scelto di lasciare così com'è: il fatto che i file Lua di Cortex sono archiviati interamente in testo normale, senza alcuna crittografia, nonostante la loro natura altamente sensibile.
Sembra allarmante, ma la realtà è che la crittografia non sarebbe un gran deterrente per gli aggressori, quindi dopo aver discusso la questione, lui e la società di sicurezza hanno convenuto che non era necessario cambiare la situazione. Come osserva, “L’XDR alla fine deve capire cosa fare. Quindi, anche se è crittografato, a un certo punto del suo funzionamento dovrà decrittografare quei file per poterli leggere. Quindi gli aggressori potrebbero semplicemente catturare il contenuto dei file. Per me sarebbe un passo in più per poter leggere quei file, ma posso ancora leggerli”.
Dice anche che altre piattaforme XDR sono probabilmente suscettibili allo stesso tipo di attacco.
"Altri XDR lo implementeranno in modo diverso, forse", dice. “Forse i file verranno crittografati. Ma qualunque cosa faranno, posso sempre aggirarlo.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware
