サイバーニュース.jp

世界のサイバーなニュースを配信

攻撃者がDefender for Endpoint Cloud APIを悪用し認証を回避、インシデント対応を妨害

カテゴリ:

, , , , , , , , ,

概要

Microsoft Defender for Endpointのクラウド通信が、認証回避、コマンド傍受、結果の偽装に悪用され、攻撃者がインシデント対応を妨害し、アナリストを誤解させる可能性があることが明らかになりました。

最近の研究によると、複数のバックエンドエンドポイントがトークンを効果的に検証せずにリクエストを受け入れており、マシンIDとテナントIDが既知であれば、認証なしでの操作が可能になります。Microsoftはこれらの問題を低深刻度と分類していると報じられており、修正の詳細は不明です。

Defender Cloudトラフィックの脆弱性によるコマンド傍受

Defender for Endpointエージェント(MsSense.exeおよびSenseIR.exe)に関する調査により、TLSピンニングをバイパスして分析すると、エージェントのネットワークトラフィックがサーバー側の検証の弱点を露呈することが判明しました。

エージェントは定期的に特定の/edr/commands/cncエンドポイントをポーリングし、隔離コマンドフォレンジック収集コマンドスキャンコマンドインシデント対応コマンドなどの命令を取得します。リクエストにはAuthorizationおよびMsadeviceticketヘッダーが含まれていますが、バックエンドはこれらを無視します。

ホスト上の低権限ユーザーが読み取れるマシンIDとテナントIDの値を知っている攻撃者は、エージェントと競合して保留中のコマンドを先に取得し、消費することができます。これにより、正規のエージェントは何も受信できなくなります。

攻撃者は、返されたsasuri値を介して偽装されたテレメトリやファイルをAzure Blobストレージにアップロードし、証拠を汚染したり、結果を誤って報告したりすることも可能です。偽のデータをアップロードするには、追加のリクエストでAzure Blob URLを取得する必要があります。

同様の欠陥は、ライブレスポンスと自動調査を処理する/senseir/v1/actions/にも影響します。ここでもバックエンドは認証を適切に強制しません。攻撃者は、マシンIDのみを使用して有効なCloudLRトークンを取得し、アクションをリクエストし、関連するAzure Blob URLを取得して、細工されたデータをアップロードできます。

アクションはMicrosoft Bondを使用してエンコードされているため、攻撃者は正規のアクションペイロードをキャプチャして変更することができます。これにより、「すでに隔離済み」と報告しながらデバイスをオンラインのままにする、またはアナリストが開く可能性のある類似の悪意のあるファイルを調査パッケージに仕込むといった欺瞞的な運用上の影響が生じる可能性があります。10月に観測されたスロットリング動作は、いくつかのバックエンド調整を示唆していますが、根本的な脆弱性は依然として残っています

認証なしのIR除外

攻撃者は、レジストリから任意のユーザーがアクセスできる組織IDのみを使用して、登録エンドポイントからIR除外を照会できます。これらの除外は検出を無効にするものではありませんが、自動および手動のIR動作を形成し、レスポンダーが行動しない場所を明らかにします

さらに、/edr/commands/cncへの認証なしの呼び出しは、RegistryMonitoringConfigurationドライバーアクセスリスト攻撃対象領域削減データを含む約8MBの構成バンドルを返す可能性があります。これはテナント固有ではないものの、ルールと盲点に関する貴重な洞察を提供します。

侵害されたホストで以前に調査パッケージが生成されていた場合、それは任意のユーザーが読み取り可能なままであり、自動実行プログラムインストール済みプログラムネットワーク接続などを攻撃者の偵察のために公開する可能性があります。

攻撃の影響と防御策

これらの攻撃は主に侵害後に適用され、攻撃者はホストからマシンおよびテナント識別子を収集し、クラウドコントロールプレーンにピボットすることができます。最も損害の大きい結果には、隔離のサイレントな無効化証拠の汚染罠が仕掛けられた調査ファイルでアナリストを欺くことが含まれます。

防御側は、予期しないCNC/アクションポーリングパターンを監視し隔離状態がホストの現実と一致していることを検証し識別子へのローカルアクセスを制限しDefenderワークフローに関連する疑わしいAzure Blobアップロードの検出を設定する必要があります。Defenderエンドポイントへのアクセスを信頼できるエグレスパスに制限するネットワーク制御は、競合状態を減らすことができます。

Microsoftがバックエンドでトークン検証を強制し、トークン発行を強化するまで、インシデントレスポンダーはクラウドコマンドチャネルが争われる可能性があると想定し、結果を帯域外で検証する必要があります。

元記事: https://gbhackers.com/attackers-exploit-defender-for-endpoint-cloud-api/

投稿をさらに読み込む