Microsoft Defender 漏洞允许攻击者绕过身份验证并上传恶意文件
Microsoft Defender for Endpoint (DFE) 与其云服务之间的网络通信中发现严重缺陷,允许攻击者绕过身份验证、欺骗数据、泄露敏感信息,甚至将恶意文件上传到调查包。
Microsoft Defender for Endpoint (DFE) 与其云服务之间的网络通信中发现严重缺陷,允许攻击者绕过身份验证、欺骗数据、泄露敏感信息,甚至将恶意文件上传到调查包。
InfoGuard Labs 在最近的分析中详细介绍了这些漏洞,它们凸显了端点检测和响应 (EDR)系统中持续存在的风险,可能会破坏事件响应工作。
这些问题于 2025 年 7 月报告给微软安全响应中心 (MSRC),被认为严重程度较低,截至 2025 年 10 月尚未确认修复。
这项研究建立在先前对 EDR 攻击面的探索之上,重点关注代理与云后端的交互。通过使用 Burp Suite 等工具拦截流量,并通过 WinDbg 中的内存补丁绕过证书锁定,分析揭示了 DFE 的 MsSense.exe 进程如何处理命令和数据上传。
通过修改 CRYPT32!CertVerifyCertificateChainPolicy 函数使其始终返回有效结果,从而可以对 HTTPS 流量进行明文检查,从而规避常见的安全措施证书固定。
类似的补丁被应用于 SenseIR.exe 以实现完全拦截,包括 Azure Blob 上传。
身份验证绕过和命令拦截
根据 InfoGuard Labs 的说法,核心问题在于代理对 https://[location-specific-host]/edr/commands/cnc 等端点的请求,它会在这些端点轮询隔离、取证收集或扫描等命令。
尽管包含授权令牌和 Msadeviceticket 标头,后端却完全忽略它们。低权限用户可以通过读取注册表轻松获取计算机 ID 和租户 ID,攻击者可以冒充代理并拦截响应。
例如,像 Burp 的 Intruder 这样的入侵工具可以持续查询端点,在合法代理收到可用命令之前抢夺它们。
这允许欺骗响应,例如伪造隔离命令的“已隔离”状态,使设备处于未隔离状态,而 Microsoft Defender Portal 将其报告为安全。
序列化格式(通常为 Microsoft Bond)使手动制作变得复杂,但捕获和修改合法响应足以进行概念验证漏洞利用。
一个并行漏洞影响了实时响应和自动调查的 /senseir/v1/actions/ 端点。在这里,CloudLR 令牌同样被忽略,无需身份验证,仅使用机器 ID 即可获取。
攻击者可以利用大型语言模型进行 Bond 反序列化,使用自定义脚本解码动作负载,并通过 SAS 令牌将伪造的数据上传到提供的Azure Blob URI,这些令牌的有效期为数月。
信息泄露和恶意文件风险
未经身份验证的访问通过注册端点扩展到事件响应 (IR) 排除,只需要来自注册表的组织 ID。
更令人担忧的是,在没有凭证的情况下轮询 /edr/commands/cnc 会产生 8MB 的配置转储,其中包括 RegistryMonitoringConfiguration、DriverReadWriteAccessProcessList 和 ASR 规则。虽然这些数据并非针对特定租户,但揭示了对规避攻击有价值的检测逻辑。
入侵后,攻击者可以枚举文件系统上的调查包,任何用户都可以读取,其中包含自动运行、已安装的程序和网络连接。
对于正在进行的调查,这些软件包的欺骗性上传可以嵌入具有无害名称的恶意文件,从而诱骗分析师在审查期间执行。
这些缺陷凸显了 EDR 通信安全面临的挑战,尽管存在多种令牌类型,但一些简单的疏忽依然存在。分析师敦促采取补救措施,并认为漏洞发生后的中断和针对分析师的攻击比 MSRC 的评估更值得重视。
InfoGuard Labs 在最近的分析中详细介绍了这些漏洞,它们凸显了端点检测和响应 (EDR)系统中持续存在的风险,可能会破坏事件响应工作。
这些问题于 2025 年 7 月报告给微软安全响应中心 (MSRC),被认为严重程度较低,截至 2025 年 10 月尚未确认修复。
这项研究建立在先前对 EDR 攻击面的探索之上,重点关注代理与云后端的交互。通过使用 Burp Suite 等工具拦截流量,并通过 WinDbg 中的内存补丁绕过证书锁定,分析揭示了 DFE 的 MsSense.exe 进程如何处理命令和数据上传。
通过修改 CRYPT32!CertVerifyCertificateChainPolicy 函数使其始终返回有效结果,从而可以对 HTTPS 流量进行明文检查,从而规避常见的安全措施证书固定。
类似的补丁被应用于 SenseIR.exe 以实现完全拦截,包括 Azure Blob 上传。
身份验证绕过和命令拦截
根据 InfoGuard Labs 的说法,核心问题在于代理对 https://[location-specific-host]/edr/commands/cnc 等端点的请求,它会在这些端点轮询隔离、取证收集或扫描等命令。
尽管包含授权令牌和 Msadeviceticket 标头,后端却完全忽略它们。低权限用户可以通过读取注册表轻松获取计算机 ID 和租户 ID,攻击者可以冒充代理并拦截响应。
例如,像 Burp 的 Intruder 这样的入侵工具可以持续查询端点,在合法代理收到可用命令之前抢夺它们。
这允许欺骗响应,例如伪造隔离命令的“已隔离”状态,使设备处于未隔离状态,而 Microsoft Defender Portal 将其报告为安全。
序列化格式(通常为 Microsoft Bond)使手动制作变得复杂,但捕获和修改合法响应足以进行概念验证漏洞利用。
一个并行漏洞影响了实时响应和自动调查的 /senseir/v1/actions/ 端点。在这里,CloudLR 令牌同样被忽略,无需身份验证,仅使用机器 ID 即可获取。
攻击者可以利用大型语言模型进行 Bond 反序列化,使用自定义脚本解码动作负载,并通过 SAS 令牌将伪造的数据上传到提供的Azure Blob URI,这些令牌的有效期为数月。
信息泄露和恶意文件风险
未经身份验证的访问通过注册端点扩展到事件响应 (IR) 排除,只需要来自注册表的组织 ID。
更令人担忧的是,在没有凭证的情况下轮询 /edr/commands/cnc 会产生 8MB 的配置转储,其中包括 RegistryMonitoringConfiguration、DriverReadWriteAccessProcessList 和 ASR 规则。虽然这些数据并非针对特定租户,但揭示了对规避攻击有价值的检测逻辑。
入侵后,攻击者可以枚举文件系统上的调查包,任何用户都可以读取,其中包含自动运行、已安装的程序和网络连接。
对于正在进行的调查,这些软件包的欺骗性上传可以嵌入具有无害名称的恶意文件,从而诱骗分析师在审查期间执行。
这些缺陷凸显了 EDR 通信安全面临的挑战,尽管存在多种令牌类型,但一些简单的疏忽依然存在。分析师敦促采取补救措施,并认为漏洞发生后的中断和针对分析师的攻击比 MSRC 的评估更值得重视。
关于作者
评论0次