La explotación exitosa del software de detección y respuesta extendida (XDR) de Palo Alto Networks podría permitir a un atacante usarlo como una herramienta múltiple maliciosa.
En la sesión informativa de Black Hat Asia de esta semana, el investigador de seguridad de SafeBreach, Shmuel Cohen, reveló que no solo realizó ingeniería inversa y descifró el producto estrella de la compañía, Cortex, sino que también lo usó como arma para crear un caparazón inverso y explicó cómo implementaron el ransomware.
Palo Alto ha solucionado todas las debilidades asociadas con sus hazañas, excepto una. Aún no está claro si otras soluciones XDR similares son vulnerables a ataques similares.
El pacto del diablo en ciberseguridad
Hay un pacto con el diablo inevitable cuando se utilizan ciertas herramientas de seguridad generalizadas. Para que estas plataformas puedan realizar sus funciones, deben tener privilegios elevados y acceso total a todos los rincones del sistema.
Por ejemplo, para realizar monitoreo y detección de amenazas en tiempo real en todo el ecosistema de TI, XDR requiere los privilegios más altos posibles y acceso a información altamente confidencial. Además, XDR no se puede eliminar fácilmente. Este inmenso poder de estos programas le dio a Cohen una idea con un giro.
“Pensé: ¿Es posible convertir la propia solución EDR en malware?”, dijo Cohen a Dark Reading. “Utiliza todas las capacidades de XDR para atacar a los usuarios”.
Después de elegir Cortex como tema de investigación, realizó ingeniería inversa en sus diversos componentes para tratar de descubrir cómo define qué es malicioso y qué no.
Tuvo una epifanía cuando descubrió un conjunto de archivos de texto sin formato de los que dependía el programa más que cualquier otra cosa.
Cómo convertir XDR en malvado
“Pero esas reglas están en mi computadora”, pensó Cohen. “¿Qué pasa si lo elimino manualmente?”
Resulta que Palo Alto ya tenía esto en mente. Aunque el mecanismo antimanipulación garantizaba que ningún usuario tocara los valiosos archivos Lua, este mecanismo tenía debilidades. En lugar de proteger archivos Lua individuales por su nombre, este mecanismo funcionó protegiendo una carpeta que los encapsuló a todos. Esto significa que no necesita anular el mecanismo a prueba de manipulaciones para llegar al archivo deseado; sólo necesita poder redirigir la ruta utilizada para llegar al archivo, evitando el mecanismo por completo.
Un simple atajo probablemente no fuera suficiente, por lo que utilizó enlaces físicos. Los enlaces físicos son la forma en que su computadora asocia los nombres de los archivos con los datos reales almacenados en su disco duro. Esto le permite apuntar su nuevo archivo a la misma ubicación de unidad que el archivo Lua.
“El programa pudo editar el archivo de contenido original sin darse cuenta de que este archivo apuntaba a la misma ubicación en el disco duro que el archivo Lua original”, explica. “Así que creé un vínculo físico al archivo, edité algunas reglas y las eliminé. Luego hice otra pequeña operación que eliminó las reglas y provocó que la aplicación cargara las nuevas reglas, y descubrí que el controlador vulnerable que me di cuenta de que podía cargarlo. Y a partir de ahí toda la computadora fue mía.”
Después de tomar el control total con un ataque de prueba de concepto, recuerda Cohen, “Primero, cambiamos la contraseña de protección del XDR para evitar su eliminación. También bloqueamos toda comunicación con nuestros servidores”.
Por otro lado, “Todo parece estar funcionando bien. La actividad maliciosa se puede ocultar al usuario. XDR no proporciona notificaciones, ni siquiera para acciones que deberían haberse evitado. Hay una marca verde que dice que está bien, pero hay malware ejecutándose”. debajo.”
El malware que decidió ejecutar comenzó con un shell inverso que le daba control total de la máquina de la víctima. Luego implementaron con éxito el ransomware justo al lado del programa.
Correcciones que Palo Alto no hizo
Palo Alto Networks estuvo abierto a la investigación de Cohen y trabajó estrechamente con él para comprender la vulnerabilidad y desarrollar una solución.
Sin embargo, había una vulnerabilidad en la cadena de ataque y decidieron dejarla como estaba. Aunque los archivos Lua de Cortex son muy confidenciales, se almacenan enteramente en texto plano, sin cifrar.
Si bien esto suena preocupante, el cifrado en realidad no es un gran disuasivo para los atacantes, por lo que después de discutir el asunto, él y la empresa de seguridad decidieron que no había necesidad de cambiarlo. Señala: “XDR tiene que descubrir qué hacer eventualmente, por lo que incluso si está cifrado, en algún momento de su operación tiene que descifrar esos archivos para poder leerlos. Por lo tanto, un atacante puede recuperar fácilmente el contenido de los archivos en ese punto. Se requiere un paso más para leerlos, pero aún se pueden leer”.
También afirma que otras plataformas XDR pueden estar sujetas a ataques similares.
“Otros XDR probablemente implementarían esto de manera diferente”, afirma. “Es posible que los archivos estén cifrados, pero hagan lo que hagan, siempre puedo evitarlo”.
Fuente: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware