Στο Black Hat Asia, ο ειδικός σε θέματα ασφαλείας Shmuel Cohen αποκάλυψε μια πολύπλοκη τεχνική εκμετάλλευσης στο λογισμικό XDR της Palo Alto Networks, το Cortex, επιδεικνύοντας τη δυνατότητα μετατροπής του σε εργαλείο κακόβουλης χρήσης.

Ο Cohen κατάφερε να αναδιαμορφώσει το Cortex, εντοπίζοντας και εκμεταλλευόμενος ευπάθειες που του επέτρεψαν να μεταβάλλει τη λειτουργικότητά του.

Κατάφερε να εκμεταλλευτεί μια ασφαλιστική δικλίδα, δημιουργώντας ισχυρούς δεσμούς με τα Lua αρχεία του Cortex, εξασφαλίζοντας έτσι την πρόσβαση για να τα διαχειριστεί χωρίς να ενεργοποιήσει τους μηχανισμούς ανίχνευσης. Αυτό του έδωσε τη δυνατότητα να απενεργοποιήσει κρίσιμα μέτρα ασφαλείας και να εγκαταστήσει ευπαθή driver, καταλαμβάνοντας έτσι τον έλεγχο του συστήματος. Στη συνέχεια, ο Cohen αλλαξε τον κωδικό πρόσβασης για την προστασία του XDR, αποκλείοντας παράλληλα την επικοινωνία με τους servers, ενώ διατήρησε την φαινομενική κανονικότητα στην εμφάνιση για τους χρήστες.

Παρόλο που τα δίκτυα Palo Alto διαπραγματεύτηκαν επιτυχώς τη διόρθωση των περισσοτέρων ευπαθειών, αποφάσισαν να μην προχωρήσουν στην κρυπτογράφηση των αρχείων Lua του Cortex, κρίνοντας ότι η αποκρυπτογράφηση κατά την εκτέλεση είναι αναπόφευκτη. Ο Cohen και η ομάδα του υποστήριξαν ότι η κρυπτογράφηση δεν θα προσέφερε αποτελεσματική προστασία από τους εισβολείς, δεδομένου ότι αυτοί θα μπορούσαν να αντλήσουν το αποκρυπτογραφημένο περιεχόμενο κατά τη διάρκεια της εκτέλεσης.

Ο Cohen υποστηρίζει ότι οι πλατφόρμες XDR της Palo Alto Networks ενδέχεται να εκτεθούν σε ανάλογες ευπάθειες, υπονοώντας πως οι χάκερς έχουν τη δυνατότητα να προσαρμόσουν τις επιθετικές τους μεθόδους, ακόμη και εάν τα δεδομένα είναι κρυπτογραφημένα. Η Palo Alto Networks συνεργάστηκε με τον Cohen για την αντιμετώπιση της εκμετάλλευσης αυτής, επισημαίνοντας τη συνεχή πρόκληση που αντιπροσωπεύει η προστασία των ιδιαίτερα κρίσιμων εργαλείων ασφαλείας, τα οποία απαιτούν εκτενή πρόσβαση στους πόρους του συστήματος.