Plateforme
windows
Composant
cortex-xdr-agent
Corrigé dans
7.9.102-CE
8.1.1
8.2.3
8.3.1
Une vulnérabilité d'escalade de privilèges (PE) a été découverte dans l'agent Cortex XDR de Palo Alto Networks sur les systèmes Windows. Cette faille permet à un utilisateur local d'exécuter des programmes avec des privilèges élevés. L'exploitation réussie nécessite cependant de surmonter une condition de concurrence, ce qui rend l'exploitation difficile. Les versions affectées sont celles inférieures ou égales à 8.4.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant local de contourner les mécanismes de contrôle d'accès et d'exécuter des processus avec des privilèges système. Cela pourrait permettre de compromettre l'intégrité du système, de voler des données sensibles ou d'installer des logiciels malveillants. Bien que l'exploitation soit complexe en raison de la condition de concurrence, un attaquant ayant un accès local et une connaissance approfondie du système pourrait potentiellement l'exploiter. Cette vulnérabilité est similaire à d'autres failles d'escalade de privilèges qui ont permis aux attaquants de prendre le contrôle total d'un système.
Cette vulnérabilité a été publiée le 12 juin 2024. Il n'y a pas d'indication d'une exploitation active à ce jour. La complexité de l'exploitation, due à la condition de concurrence, suggère une probabilité d'exploitation faible à moyenne. Il n'y a pas de preuve de son ajout au KEV (CISA Known Exploited Vulnerabilities) à la date de cette analyse.
Organizations deploying Palo Alto Networks Cortex XDR agent on Windows systems, particularly those with less stringent local account privilege controls, are at risk. Environments with a high number of local administrator accounts or those lacking robust monitoring of process execution are especially vulnerable.
• windows / supply-chain:
Get-Process -Name CortexXdrAgent | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName PaloAltoNetworks.CortexXDRAgent" | Select-String -Pattern "error"• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*CortexXdrAgent*'} | Format-List TaskName, Statedisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 25%)
CISA SSVC
La solution recommandée est de mettre à jour l'agent Cortex XDR vers la version corrigée dès que possible. En attendant, des mesures d'atténuation peuvent être mises en œuvre pour réduire le risque d'exploitation. Il est conseillé de restreindre les droits d'accès des utilisateurs locaux et de surveiller attentivement les activités suspectes sur les systèmes Windows. L'implémentation de politiques de contrôle d'accès strictes peut aider à limiter l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez que l'agent fonctionne correctement et qu'il n'y a pas de conflits avec d'autres applications.
Actualice el agente Cortex XDR a la última versión disponible. Específicamente, asegúrese de que la versión sea 7.9.102-CE o superior, 8.2.3 o superior, o 8.3.1 o superior. Esto mitigará la vulnerabilidad de escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-5907 is a vulnerability in the Palo Alto Networks Cortex XDR agent for Windows that allows a local user to potentially gain elevated privileges by exploiting a race condition.
You are potentially affected if you are running Palo Alto Networks Cortex XDR agent version 8.4.0 or earlier on Windows systems.
Upgrade the Cortex XDR agent to a version that includes the fix. Check Palo Alto Networks' security advisories for the latest fixed version.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants prompt mitigation.
Refer to the Palo Alto Networks security advisory page for the latest information and updates regarding CVE-2024-5907.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.