Descriptografando e Abusando de BIOCs Predefinidos no Palo Alto Cortex XDR

Pesquisadores do InfoGuard Labs descriptografaram os arquivos de regras CLIPS criptografados com AES-256-CBC, presentes nos agentes 8.7 e 8.8 do Palo Alto Cortex XDR (versão de conteúdo 1790-16658). A análise revelou whitelists globais hardcoded que isentavam qualquer processo com `:\Windows\ccmcache` em sua linha de comando de aproximadamente metade das detecções BIOC, incluindo regras de prevenção de dump de LSASS mapeadas ao MITRE ATT&CK T1003/TA0006. A whitelist global foi removida no Cortex XDR Agent 9.1 (versão de conteúdo 2160), mas exceções de regras individuais ainda podem ser exploradas por atacantes com conhecimento das regras em texto puro. Defensores que usam agentes anteriores à versão 9.1 devem atualizar imediatamente. Organizações em versões corrigidas precisam auditar a telemetria da linha de comando de processos para injeção do caminho `ccmcache` e considerar qualquer EDR de "caixa fechada" como uma camada de defesa, não como um controle completo. ️️