Abuso do Cortex XDR Live Terminal como Canal C2

Pesquisadores da InfoGuard demonstraram que o recurso Live Terminal do Palo Alto Cortex XDR pode ser abusado como um canal C2 (Command and Control) pré-instalado e confiável pelo EDR. ️ Isso permite execução de comandos, transferência de arquivos e capacidades de evasão, com tráfego que se mistura nativamente aos fluxos da rede corporativa. O ataque explora uma falha trivial de validação de URL no `cortex-xdr-payload.exe` e a ausência de autenticação mútua ou assinatura criptográfica de comandos, permitindo que atacantes redirecionem conexões para sua própria infraestrutura através de `cross-tenant hijacking` ou de um servidor WebSocket customizado.

Para defesa, é crucial monitorar a execução de `cortex-xdr-payload.exe` quando gerado por qualquer processo pai diferente de `cyserver.exe`. A correção alegada pela Palo Alto nas versões 8.7 a 8.9 não foi confirmada como eficaz até fevereiro.