Descoberta e escopo
Pesquisadores de cibersegurança descobriram uma falha crítica de evasão no agente Palo Alto Networks Cortex XDR que permitiu que atacantes contornassem completamente as detecções comportamentais. A equipe InfoGuard Labs, ao reverter engenharia das regras criptografadas, descobriu listas brancas globais embutidas que permitiam que atores maliciosos executassem ações sem disparar alertas de segurança.
O Cortex XDR depende fortemente de Indicadores Comportamentais de Comprometimento (BIOCs) para identificar atividade maliciosa em endpoints. Essas regras são enviadas em formato criptografado para evitar adulteração e análise de terceiros. No entanto, durante um engajamento de red team, os pesquisadores analisaram as versões 8.7 e 8.8 do agente Windows.
O que mudou agora
O pesquisador Manuel Feifel da InfoGuard Labs rastreou o processo de descriptografia usando ferramentas de depuração de kernel. A pesquisa revelou que as chaves de descriptografia eram derivadas de uma string embutida nos arquivos do agente, combinada com um arquivo de configuração Lua em texto claro. Isso permitiu que a equipe descriptografasse todo o conjunto de regras comportamentais, traduzindo as regras proprietárias CLIPS em texto claro para análise profunda.
Uma vez que as regras foram descriptografadas, os pesquisadores encontraram exceções gritantes projetadas para evitar falsos positivos de software legítimo. A descoberta mais crítica foi uma lista de permissões global que os atacantes podiam facilmente usar. Se os argumentos de linha de comando de um processo contivessem a string exata: \Windows\ccmcache, o agente XDR o excluía automaticamente do monitoramento.
Impacto e alcance
Este único argumento de linha de comando conseguiu contornar aproximadamente metade das regras de detecção comportamental da plataforma Cortex XDR. Os atacantes poderiam abusar disso anexando a string a ferramentas maliciosas conhecidas. Por exemplo, a InfoGuard Labs demonstrou que executar a utilidade SysInternals ProcDump com essa string permitiu despejar a memória LSASS, uma técnica comum de roubo de credenciais, completamente indetectada.
A InfoGuard Labs divulgou responsavelmente suas descobertas para a Palo Alto Networks em julho de 2025. Após um atraso colaborativo para garantir a proteção dos clientes, a Palo Alto lançou uma correção abrangente no final de fevereiro de 2026. A vulnerabilidade é resolvida na versão do agente Cortex XDR 9.1, juntamente com o conteúdo versão 2160.
Implicações para o mercado
Esta descoberta destaca o debate contínuo da indústria sobre ecossistemas de detecção fechados. Confiar em regras ocultas e criptografadas pode fornecer uma falsa sensação de segurança se essas regras contiverem falhas lógicas fundamentais. Enquanto fornecedores como Elastic e HarfangLab mantêm conjuntos de regras abertos, sistemas fechados como o Cortex XDR exigem que os defensores permaneçam vigilantes. As regras descriptografadas e scripts de prova de conceito foram disponibilizados no GitHub para pesquisa da comunidade.