Investigadores descubren métodos de evasión de Cortex XDR
Un equipo de investigadores de InfoGuard Labs descubrió una vulnerabilidad en Cortex XDR mientras realizaban una investigación de seguridad ofensiva. Cortex implementa diferentes mecanismos de detección, tanto aprendizaje automático, como reglas estáticas. Estas últimas son almacenadas después de cada actualización de forma privada siguiendo un proceso de encriptación creado por Palo Alto, para evitar que sean modificadas y analizadas. Esto último fue lo que intrigó a los investigadores, quienes decidieron investigar a profundidad el proceso de almacenamiento, descubriendo una vulnerabilidad.
Para poder acceder a las reglas (escritas en un lenguaje llamado CLIPS) en texto plano, el equipo analizó el comportamiento del agente de Cortex durante el proceso de actualización, descubriendo que son protegidas utilizando el algoritmo AES-256-CBC con una llave estática, lo cual permite reproducir el proceso de desencriptado en múltiples “tenants”. Para poder obtener las reglas en texto plano, el equipo siguió los siguientes pasos:
- Localizar el contenido encriptado en el sistema de archivos.
- Utilizar ProcMon para encontrar el proceso de escritura y lectura que desencripta las reglas en el archivo “cysc.dll”.
- Utilizar WInDBG para evadir los mecanismos de auto-protección de Cortex XDR.
- Interceptar el proceso de desencriptado, obteniendo las reglas en texto plano desde la memoria.
Esta vulnerabilidad fue reportada a Palo Alto, quien respondió rápidamente y envió una corrección a sus agentes de Cortex XDR, así como a sus nuevas listas de detección, eliminando y reescribiendo algunas excepciones.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Cortex XDR Agent | Versiones anteriores a la 9.1 | Versión 9.1 en adelante |
Recomendaciones
- Actualizar los agentes de Cortex XDR a la versión 9.1 (en adelante) lo antes posible.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Divya. (2026, Marzo 17). Researchers Uncover Ways to Decrypt Palo Alto Cortex XDR BIOC Rules for Evasion. GBHackers. Recuperado el 18 de marzo de 2026, en: https://gbhackers.com/researchers-decrypt-palo-alto-cortex-xdr-bioc-rules-for-evasion/
- Feifel, M. (2026, Marzo 13). Decrypting and Abusing Predefined BIOCs in Palo Alto Cortex XDR. InfoGuard Labs. Recuperado el 18 de marzo de 2026, en: https://labs.infoguard.ch/posts/decrypting-and-abusing_paloalto-cortex-xdr_behavioral-rules_biocs/
- Khaitan, A. (2026, Marzo 18). How Cortex XDR BIOC Rules Could Become an Attack Surface. The Cyber Express by Cyble. Recuperado el 18 de marzo de 2026, en: https://thecyberexpress.com/cortex-xdr-bioc-rules-security-risk/
