O Microsoft Defender descobriu vulnerabilidades de longa data que permitem que a autenticação seja ignorada e arquivos maliciosos sejam baixados.

Vulnerabilidades críticas foram descobertas na comunicação de rede entre o Microsoft Defender for Endpoint (DFE) e seus serviços de nuvem, permitindo que invasores ignorem a autenticação, falsifiquem dados, divulguem informações confidenciais e até mesmo carreguem arquivos maliciosos para escanear pacotes, informou o Cyber ​​Security News, citando uma pesquisa do InfoGuard Labs.

Fonte da imagem: Ed Hardie/unsplash.com

Essas vulnerabilidades destacam riscos persistentes em sistemas de detecção de endpoints (EDR), potencialmente prejudicando os esforços de resposta a incidentes, observou o Cyber ​​Security News. Em julho de 2025, o InfoGuard Labs relatou as vulnerabilidades ao Centro de Resposta a Incidentes de Segurança da Microsoft (MSRC), que as considerou de baixa gravidade, e até outubro de 2025, nenhuma correção havia sido confirmada.

Esta pesquisa se baseou em análises anteriores de ataques de EDR, com foco nas interações de agentes com componentes de servidores em nuvem. Ao ignorar a fixação de certificados, modificando a função CRYPT32!CertVerifyCertificateChainPolicy para que ela sempre retorne o resultado correto, os invasores garantem que o tráfego HTTPS não criptografado seja transmitido em texto não criptografado. Correções semelhantes foram aplicadas ao SenseIR.exe, um componente do DFE, para permitir a interceptação completa de dados, incluindo o upload para o armazenamento de Blobs do Azure.

Como resultado, um invasor obtém a capacidade de interceptar comandos acessíveis antes que o agente legítimo os receba. Isso permite respostas falsas, por exemplo, simulando o status “Já Isolado” para um comando de isolamento, deixando o dispositivo sem isolamento enquanto o portal do Microsoft Defender o relata como seguro.

O formato de serialização frequentemente usado no Microsoft Bond complica o desenvolvimento manual, mas explorações baseadas nesse conceito simplesmente exigem a interceptação e a modificação de respostas legítimas, relata o Cyber ​​Security News.A vulnerabilidade também afeta os endpoints /senseir/v1/actions/ para Live Response e Automated Investigations, onde os tokens CloudLR também são ignorados e acessíveis sem autenticação usandoSomente ID da máquina.

A vulnerabilidade permite que invasores decodifiquem payloads de ação usando scripts personalizados que utilizam grandes modelos de linguagem para desserializar o Bond e carregar dados fabricados para URIs de Blobs do Azure fornecidos por meio de tokens SAS que permanecem válidos por vários meses.

Após um comprometimento, os invasores podem listar pacotes de varredura no sistema de arquivos, legíveis por qualquer pessoa, contendo dados sobre inicialização, programas instalados e conexões de rede. Downloads falsos desses pacotes permitem que eles injetem arquivos maliciosos com nomes inofensivos, enganando os analistas durante a varredura.

admin

Postagens recentes

Os investidores duvidaram do boom da IA ​​- as ações dos fabricantes de chips caíram

\nA semana passada se tornou uma das mais malsucedidas para os fabricantes de semicondutores desde…

33 minutos atrás

Para IA e para “quants”: supercomputadores RIKYU e ROQUO baseados em NVIDIA GB200 NVL4 entraram em operação no Japão

\nO Centro de Ciências Computacionais do Instituto de Pesquisa Física e Química do Japão (Centro…

33 minutos atrás

A Microsoft está desenvolvendo o Project Perception, sua resposta aos mitos antrópicos

\nÀ medida que a inteligência artificial muda o cenário do mercado de segurança cibernética, a…

57 minutos atrás

Os EUA queriam “sua parte” nos lucros excessivos dos fabricantes de chips coreanos

Os Estados Unidos queriam obter uma parte dos enormes lucros das empresas sul-coreanas de semicondutores…

4 horas atrás

A Apple aumentou os preços do iPhone, mas até agora apenas no Japão

\nNa seção japonesa da loja online da Apple, os preços dos smartphones aumentaram – isso…

4 horas atrás