Ransomware Rorschach impacta en producto Cortex XDR de Palo Alto Networks
Abril 5, 2022
Paloalto Networks
Recursos afectados:
Cortex XDR Agent, versiones:
- 5.0, todos los agentes en Windows;
- 7.5 CE, todos los agentes en Windows;
- 7.8, agentes con actualización de contenido anterior a CU-240 en Windows;
- 7.9 CE, agentes con actualización de contenido anterior a CU-240 en Windows;
- 8.0, agentes con actualización de contenido anterior a CU-240 en Windows.
Descripción:
El equipo de Product Security Assurance, de Palo Alto Networks, tiene conocimiento de un artículo que detalla una variante de ransomware denominada Rorschach, que podría afectar a varias versiones del agente Cortex XDR ejecutadas en entornos Windows.
Solución:
Cortex XDR 7.7 y versiones posteriores, con la actualización de contenido versión 240 (publicada en noviembre de 2021) y actualizaciones de contenido posteriores, detectan y bloquean la amenaza ransomware.
Próximamente, se publicarán nuevas versiones del agente Cortex XDR para evitar el impacto del ransomware Rorschach en el software de la compañía, permitiendo así detectar y prevenir la técnica de carga lateral de DLL que realiza la amenaza.
El aviso de Palo Alto Networks se actualizará una vez que estén disponibles las ETA (arquitecturas de tecnología empresarial) y las actualizaciones de software.
No se contemplan actualizaciones para el agente Cortex XDR 5.0, ya que no posee el módulo de protección contra amenazas de comportamiento relevante necesario para detectar esta técnica.
Detalle:
Una variante de la amenaza ransomware Rorschach podría evadir las técnicas de detección en los sistemas que carecen de suficiente protección en su endpoint, mediante el uso de Cortex XDR Dump Service Tool (cydump.exe), una herramienta que está incluida en el agente Cortex XDR para Windows, otorgando la posibilidad de cargar DLL no fiables mediante la técnica de carga lateral de DLL.
Cuando el agente Cortex XDR está instalado en Windows y el proceso Cortex XDR Dump Service Tool se ejecuta desde la ruta de instalación, no es posible cargar DLL lateralmente con esta técnica. Los permisos y protecciones de seguridad del agente Cortex XDR instalado lo impiden
Fuentes:
PAN-SA-2023-0002 Informational Bulletin: Impact of Rorschach Ransomware