微DFE爆安漏洞 客可植入意案安分析
InfoGuard Labs已於2025年7月些通微安全回中心(MSRC)。然而,截至2025年10月,MSRC些定低,且尚未任何修。
安公司InfoGuard Labs近期布分析告,揭露Microsoft Defender for Endpoint(DFE)其端服之存在漏洞。些漏洞的重性在於,允已突破防的攻者、造、露敏感,甚至能上意文件到查套件中,重威了企的端回(EDR)系。
InfoGuard Labs已於2025年7月些通微安全回中心(MSRC)。然而,截至2025年10月,MSRC些定低,且尚未任何修。
[caption id="attachment_144506" align="aligncenter" width="1200"]
微在7月就已收到DFE漏洞,但似乎未修。(/科技料照)[/caption]
技核心Token失效身分假冒
次的研究是建立在EDR攻面的先前探索之上,特聚焦於代理程式端後端之的通方式。研究人透截流量定(Certificate Pinning)的保制,得以DFE代理程式的作模式行明文。InfoGuard Labs指出,核心在於代理程式向特定端端(如edr/commands/cnc)送求,以(Poll)隔、收集或描等指令,後端服完全忽略求中的Authorization tokens和Msadeviceticket。
攻者只需要透低限使用者即可登中取得器ID和租ID。一旦取得,攻者就能假冒DFE代理程式,行意行。例,攻者可以持查端,在DFE代理程式接收指令前,截造回。「隔指令」(isolation command),攻者可回一「已隔」的造,致微Defender Portal示置已安全,但上器仍於未隔的危。
高料外
研究同,即回(Live Response)和自化查(Automated Investigations)的senseir/v1/actions/端也存在似的漏洞,此的CloudLR tokens同被忽略,需器ID即可在未身份的情下取必要。另外,攻者可以利用 SAS tokens(些tokens效期甚至月)上造到Azure Blob URIs,使得攻者能在查套件(IR exclusions)中植入有害名的意文件。由於查套件容任何使用者都是可取的,安分析在查程中提取行些文件,可能致分析的系遭受攻。
除此之外,攻者需在需任何的情下,向edr/commands/cnc行,即可得一高8MB的配置料包,其中包含了表控配置、程式存取流程列表以及ASR等。些料攻者避策略具值。
些缺陷凸了EDR通安全制上的重大疏忽,即使使用了多Token型,依然法有效阻止攻。研究分析,些攻者分析的攻以及入侵後的破能力,得比 MSRC 低估更高的先行修。
篇文章 微DFE爆安漏洞 客可植入意案安分析 最早出於 科技-掌握科技新、科技最新。
- 者:敬
- 更多科技新 »