Descriptografando e Abusando de BIOCs Predefinidos no Palo Alto Cortex XDR
Aprofundamento CEVIU
Aprofundamento
A vulnerabilidade não é só sobre quebrar criptografia: é sobre como uma whitelist hardcoded em regras CLIPS, e não em código-fonte ou configuração administrável, virou um atalho para bypassar detecções críticas de exfiltração de credenciais. Os pesquisadores do InfoGuard Labs não precisaram de zero-days no kernel nem de exploits remotos; usaram ProcMon e WinDBG para observar o agente Cortex XDR lendo seus próprios arquivos de regra, identificaram o padrão de chamadas à API de criptografia do Windows com IVs previsíveis e extraíram as chaves estáticas usadas na derivação AES-256-CBC. O resultado foi a exposição de ~50% das regras BIOC em texto puro, incluindo as que deveriam travar tentativas de dump de LSASS, com uma única string na linha de comando: :\Windows\ccmcache.
Isso não é um caso isolado de má implementação. É um sintoma de arquitetura: o Cortex XDR tratava regras comportamentais como artefatos imutáveis e opacos, confiando na obscuridade da criptografia em vez de no design defensivo, como validação granular de argumentos, sandboxing de execução ou verificação de integridade de linhas de comando antes da aplicação da whitelist. A correção na versão 9.1 não apenas removeu a whitelist global, mas trocou o esquema de derivação de chave por um que depende de valores dinâmicos do sistema, dificultando a reprodução em massa.
Por que isso importa
Empresas que dependem do Cortex XDR como camada principal de prevenção contra exfiltração de credenciais estão expostas desde julho de 2025, quando a falha foi reportada, e ainda mais agora, com técnicas de exploração publicamente documentadas. A whitelist não era uma exceção configurável por administrador, mas um hardcode invisível, ativado automaticamente sempre que qualquer processo (mesmo legítimo) tivesse ccmcache na linha de comando, o que ocorre rotineiramente em ambientes com SCCM/MECM. Isso significa que ataques reais já poderiam ter passado despercebidos em centenas de redes corporativas brasileiras sem que houvesse alerta, log ou evidência de anomalia na telemetria padrão.
Perguntas frequentes
O que é exatamente 'ccmcache' e por que ele aparece tanto em ambientes corporativos?
É uma pasta usada pelo Microsoft Endpoint Configuration Manager (antigo SCCM) para armazenar pacotes de implantação temporários. Processos legítimos frequentemente executam com caminhos contendo 'ccmcache' na linha de comando, o que, nesse caso, virou um gatilho acidental para desativar metade das regras de detecção do EDR.
Atualizar para a versão 9.1 resolve tudo?
Resolve a whitelist global, mas não elimina o risco de bypass por regras individuais ainda em texto puro. Atacantes com acesso às regras descriptografadas podem modelar ataques que exploram exceções específicas, como combinações de flags, nomes de módulos ou sequências de chamadas de API que escapam da detecção mesmo na versão 9.1.
Como saber se minha organização foi afetada?
Verifique a versão do agente instalado: se for inferior à 9.1 e a versão de conteúdo for 1790, 16658, há exposição confirmada. Também busque na telemetria de linha de comando eventos com 'ccmcache' seguidos de execuções de ferramentas como mimikatz.exe, procdump.exe ou lsass.exe, isso pode indicar abuso silencioso já ocorrido.
Por que a Palo Alto demorou quase 8 meses entre o reporte e a correção?
A empresa confirmou o recebimento em julho de 2025, mas a correção só foi liberada em fevereiro de 2026. Isso reflete a complexidade de reescrever o mecanismo de carregamento e validação de regras BIOC sem quebrar compatibilidade com milhares de regras personalizadas e integrações de terceiros, um trade-off comum em EDRs maduros, mas que aumenta a janela de exploração.
Fontes
- labs.infoguard.chfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 17 de março de 2026
- Editoria
- CEVIU Segurança da Informação
