微軟DFE爆資安漏洞 駭客可繞過驗證植入惡意檔案騙過資安分析師

記者孫敬／編譯

資安公司InfoGuard Labs近期發布分析報告，揭露Microsoft Defender for Endpoint（DFE）與其雲端服務之間存在數個關鍵漏洞。這些漏洞的嚴重性在於，允許已突破防線的攻擊者繞過驗證、偽造數據、洩露敏感資訊，甚至能上傳惡意文件到調查套件中，嚴重威脅了企業的端點偵測與回應（EDR）系統。

InfoGuard Labs已於2025年7月將這些問題通報給微軟安全回應中心（MSRC）。然而，截至2025年10月，MSRC卻將這些問題定調為低風險，且尚未確認任何修復計畫。

延伸閱讀：你是資安破口嗎？LayerX報告曝「複製貼上」壞習慣使機敏資訊外流給AI

技術核心問題Token失效與身分假冒

這次的研究是建立在對EDR攻擊面的先前探索之上，特別聚焦於代理程式與雲端後端之間的通訊方式。研究人員透過攔截流量並繞過憑證綁定（Certificate Pinning）的保護機制，得以對DFE代理程式的運作模式進行明文檢測。InfoGuard Labs指出，核心問題在於代理程式向特定雲端端點（如edr/commands/cnc）發送請求，以輪詢（Poll）隔離、鑑識收集或掃描等指令時，後端服務會完全忽略請求中夾帶的Authorization tokens和Msadeviceticket驗證資訊。

攻擊者只需要透過低權限使用者即可從登錄檔中輕鬆取得機器ID和租戶ID。一旦取得這兩項資訊，攻擊者就能夠假冒DFE代理程式，執行惡意行為。舉例來說，攻擊者可以持續查詢該端點，並在DFE代理程式接收指令前，攔截並偽造回應。針對「隔離指令」（isolation command），攻擊者可回傳一個「已隔離」的偽造狀態，導致微軟Defender Portal顯示裝置已安全，但實際上機器仍處於未隔離的危險狀態。

繞過憑證與高風險資料外洩

研究同時發現，針對即時回應（Live Response）和自動化調查（Automated Investigations）的senseir/v1/actions/端點也存在類似的漏洞，此處的CloudLR tokens同樣被忽略，僅需機器ID即可在未經身份驗證的情況下獲取必要資訊。另外，攻擊者可以利用 SAS tokens（這些tokens效期甚至長達數月）上傳偽造數據到Azure Blob URIs，這使得攻擊者能夠在調查套件（IR exclusions）中植入帶有無害名稱的惡意文件。由於調查套件內容對任何使用者都是可讀取的，當資安分析師在審查過程中提取並執行這些文件時，將可能導致分析師的系統遭受攻擊。

除此之外，攻擊者僅需在無需任何憑證的情況下，向edr/commands/cnc進行輪詢，即可獲得一個高達8MB的配置資料轉儲包，其中包含了註冊表監控配置、驅動程式讀寫存取流程列表以及ASR規則等關鍵偵測邏輯。這些資料對攻擊者規劃規避策略極具價值。

這些缺陷凸顯了EDR通訊安全機制設計上的重大疏忽，即使使用了多種Token類型，依然無法有效阻止攻擊。研究分析師強調，這些攻擊者針對分析師的攻擊以及入侵後的破壞能力，應獲得比 MSRC 低風險評估更高的優先級別進行修復。

資料來源：Cyber Security News