Cercetările recente ale InfoGuard Labs, au dezvăluit breșe critice în protocolul de comunicație dintre Microsoft Defender for Endpoint (DFE) și infrastructura sa cloud. Aceste deficiențe permit atacatorilor, odată prezenți în rețea (post-breșă), să execute un bypass de autentificare, să simuleze agentul Defender și să compromită datele sensibile. Deși au fost notificate catre MSRC (Microsoft Security Response Center) în iulie 2025, vulnerabilitățile au fost inițial clasificate ca având o severitate scăzută, iar soluțiile nu erau confirmate la momentul raportării (octombrie 2025).

Problema fundamentală constă în ignorarea token-urilor de autorizare de către serverul backend. Prin simpla obținere a ID-ului mașinii și a ID-ului de entitate, informații accesibile utilizatorilor cu privilegii minime, un atacator poate imita agentul Defender. Această uzurpare facilitează interceptarea comenzilor vitale și permite falsificarea (spoofing) răspunsurilor. Consecința directă este compromiterea procesului de răspuns la incidente, de exemplu, prin raportarea falsă a unui dispozitiv ca fiind „izolat”, deși acesta rămâne activ și vulnerabil.

Impactul se extinde și asupra confidențialității și integrității investigațiilor. Atacatorii pot extrage dump-uri de configurare ale DFE, dezvăluind logica internă de detecție. Mai mult, breșele permit încărcarea de fișiere malițioase direct în pachetele de investigație folosite de analiști, expunând echipa de securitate la riscul de execuție accidentală a codului periculos. Specialiștii subliniază că aceste riscuri majore post-breșă impun o prioritizare și o remediere urgentă din partea Microsoft.

Sfaturi de Protectie

1. Monitorizați Accesul Neobișnuit in Registrul Windows (pentru ID-uri)

• Pasul 1: Configurați politica de auditare a accesului la registru (Registry Access Auditing) în Windows.
• Pasul 2: Creați reguli de monitorizare pentru citirea (Read) cheilor de registru care stochează Machine ID, Tenant ID sau Organization ID (de exemplu, sub cheia HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\).
• Pasul 3: Generați o alertă în sistemul dvs. SIEM (Security Information and Event Management) sau în Defender însuși de fiecare dată când un proces neautorizat sau un utilizator cu privilegii reduse accesează aceste chei.

2. Implementați Segmentarea Rețelei

Obiectiv: Izolarea canalului de comunicație al MsSense.exe (agentul DFE).

• Pasul 1: Identificati FQDN-urile si adresele IP de iesire (TCP 443) ale serviciilor DFE Cloud. Identificarea FQDN-urilor (adică adresele URL complete, cum ar fi tenant.securitycenter.windows.com) pentru serviciile cloud DFE se poate face în principal prin  verificarea listei oficiale de URL-uri de conectivitate pentru Defender for Endpoint (DFE) din documentația Microsoft (Docs/Learn).
• Pasul 2: Creati o regula de Outbound Allow in Windows Defender Firewall with Advanced Security (WFAS).
• Pasul 3: Setati regula sa se aplice strict la calea executabilului: %ProgramFiles%\Windows Defender Advanced Threat Protection\MsSense.exe.
• Pasul 4: Limitati destinatia (Remote Address) exclusiv la FQDN-urile/IP-urile identificate.
• Pasul 5: Asigurati-va ca orice alt proces este blocat sa comunice cu aceleasi destinatii DFE (politica Deny-by-default).

Nota: Implementarea acestor măsuri necesită un Administrator de Sistem.

3. Monitorizați Intensiv Traficul Ieșit Criptat

• Pasul 1: Utilizați un proxy invers (sau o soluție EDR avansată/NDR - Network Detection and Response) pentru a inspecta pachetele HTTPS de la stațiile de lucru.
• Pasul 2: Căutați modele de trafic neobișnuite, cum ar fi un număr extrem de mare de interogări la endpoint-ul /edr/commands/cnc de la o mașină.
• Pasul 3: Investigați imediat orice creștere bruscă a numărului de interogări, deoarece indică o încercare de snatching a comenzilor.

4. Limitați Privilegiile Proceselor (Least Privilege)

• Pasul 1: Folosiți Conturi Simple pentru Activitățile Zilnice - Acțiune: Setați toți angajații să lucreze cu conturi de „utilizator standard”. De Ce: În caz că un atacator preia controlul asupra calculatorului, acesta va avea puteri limitate (nu poate instala, schimba setări sau manipula programe cheie).
• Pasul 2: Blocați Instrumentele de Spargere și Modificare - Instrument: Activați un sistem de Control al Aplicațiilor (de exemplu, WDAC pe Windows). Acțiune: Spuneți sistemului exact ce programe au voie să ruleze (doar cele necesare muncii). Efect: Blocați rularea instrumentelor (ca debuggerele) folosite de hackeri pentru a modifica codul Defender din memorie (MsSense.exe) și pentru a opri măsurile de securitate (precum certificate pinning-ul).

5. Auditarea și Ștergerea Promptă a Pachetelor de Investigație

• Pasul 1: Configurați o regulă de Task Scheduler sau un script de întreținere.
• Pasul 2: Setați scriptul să caute și să șteargă pachetele de investigație finalizate din directorul de sistem (C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Path\To\InvestigationPackages\) imediat după ce au fost încărcate în portal.
• Pasul 3: Mențineți o politică strictă de retenție scurtă a datelor locale pentru a reduce riscul ca atacatorii să le citească sau să injecteze fișiere malițioase.

6. Monitorizarea Încărcărilor Neobișnuite către Azure Blob

• Pasul 1: În mediul dvs. Azure, configurați alertări de securitate (Azure Monitor sau Azure Defender for Storage).
• Pasul 2: Monitorizați intensiv activitatea de scriere/încărcare (Write/Upload) pe acele Storage Accounts (Blob URIs) care sunt utilizate pentru investigațiile DFE.
• Pasul 3: Semnalați orice încărcare care provine dintr-o locație geografică neașteptată sau care nu este asociată în mod normal cu serviciul Defender, indicând o potențială utilizare abuzivă a token-urilor SAS.

7. Revizuirea și Limitarea Excluderilor de Răspuns la Incidente (IR Exclusions)

• Pasul 1: Accesați interfața de administrare DFE/M365 Defender Portal.
• Pasul 2: Revizuiți periodic lista de excluderi de răspuns la incidente (IR Exclusions) pentru a vă asigura că sunt strict necesare și nu sunt excesiv de permisive.
• Pasul 3: Asigurați-vă că accesul la interfața de configurare a excluderilor este protejat de Multi-Factor Authentication (MFA), deoarece atacatorii pot accesa ID-ul organizației fără autentificare.

8. Verificarea Stării de Izolare (Validare Externă)

• Pasul 1: Creați un script de răspuns la incidente care să fie declanșat la primirea unei alerte de izolare.
• Pasul 2: Scriptul trebuie să verifice direct starea de rețea a mașinii raportate ca fiind izolată (de exemplu, încercând să facă un ping sau să stabilească o sesiune RDP/SSH).
• Pasul 3: Dacă Defender raportează mașina ca fiind izolată, dar scriptul confirmă că încă are conectivitate la rețea, considerați răspunsul ca fiind falsificat și luați măsuri manuale.

9. Securizarea Accesului la Endpoint-uri de Live Response

• Pasul 1: Implementați o politică de Acces Condiționat (Conditional Access) strictă în Azure AD.
• Pasul 2: Restricționați utilizarea Live Response doar la adrese IP de ieșire de încredere (de exemplu, cele ale biroului echipei SOC sau ale rețelei VPN securizate).
• Pasul 3: Acest lucru reduce riscul ca atacatorii să folosească token-uri CloudLR obținute neautentificat pentru a executa comenzi la distanță de la orice locație.

10. Aplicați Rapid Patch-uri (Post-Remediere Microsoft)

• Pasul 1: Monitorizați constant comunicările publice ale Microsoft MSRC și ale echipei Defender.
• Pasul 2: Imediat ce Microsoft anunță un patch de securitate (chiar dacă îl consideră de gravitate redusă), testați-l într-un mediu pilot (Ring de testare).
• Pasul 3: Aplicați patch-ul la întreaga flotă de endpoint-uri cât mai rapid posibil prin intermediul instrumentelor dvs. de Management al Patch-urilor (ex: Microsoft Endpoint Configuration Manager sau Intune).

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa