Post by Kadir YAPAR
CTO - Managing Partner
6 önde gelen EDR/XDR'yi test ettik. Hiçbiri alarm üretmedi. 🔴 VMware vSphere ortamlarında, sunuculara VMware Tools "Guest Operations" (vmtoolsd) kanalı üzerinden gönderilen PowerShell komutları; CrowdStrike Falcon, Microsoft Defender, Cortex XDR, SentinelOne, FortiEDR ve Check Point Harmony'nin hiçbirinde varsayılan ve sıkı yapılandırmayla alarm üretmedi. Neden? Bu bir ürün açığı değil. → Komut, ağ (WinRM/RDP/SMB) veya etkileşimli oturum üzerinden değil, hipervizör yönetim düzleminden geliyor. → Süreci başlatan, VMware imzalı güvenilir bir ebeveyn: vmtoolsd.exe. Uç nokta ajanları için "şüpheli ebeveyn" sezgisi tetiklenmiyor. Sonuç: vCenter/ESXi erişimi olan bir aktör, tüm sunucu envanterinde uç nokta tespitlerini tetiklemeden komut çalıştırabilir. ESXi/vCenter fidye gruplarının giderek daha sık hedefi haline gelecek; bu ciddi bir mimari kör nokta. İyi haber: kapatılabilir bir boşluk. ✅ EDR/XDR'de "vmtoolsd → betik yorumlayıcı" parent-child kuralını devreye alın ✅ vCenter Guest Operations olaylarını SIEM'e aktarıp korele edin ✅ vSphere Guest Operations ayrıcalığını en az ayrıcalık ilkesiyle daraltın Güvenlik Danışma Bültenimizde her ürün için örnek tespit sorguları, MITRE ATT&CK eşlemesi ve sertleştirme adımları var. İnceleyin ya da ortamınıza uyarlayalım — MDR/SOC olarak bu kuralları müşterilerimizin platformlarına biz giriyoruz. 👇 Rapora ulaşmak için bizlere mail atabilirsiniz: [email protected] 🟰 We tested 6 leading EDR/XDR products. None of them raised an alert. 🔴 In VMware vSphere environments, PowerShell commands delivered to servers via the VMware Tools "Guest Operations" (vmtoolsd) channel raised no default alert on any of CrowdStrike Falcon, Microsoft Defender, Cortex XDR, SentinelOne, FortiEDR, or Check Point Harmony. Why? This isn't a product vulnerability. → The command doesn't arrive over the network (WinRM/RDP/SMB) or an interactive session — it comes from the hypervisor management plane. → The process is launched by a signed, trusted VMware parent: vmtoolsd.exe. So the "suspicious parent" heuristic never fires for endpoint agents. Impact: an actor with vCenter/ESXi access can execute commands across the entire server estate without tripping endpoint detections. With ESXi/vCenter increasingly targeted by ransomware crews, this blind spot is serious. The good news: it's a closable gap. ✅ Deploy a "vmtoolsd → script interpreter" parent-child rule in your EDR/XDR ✅ Ship vCenter Guest Operations events to your SIEM and correlate them ✅ Restrict the vSphere Guest Operations privilege with least privilege Our Security Advisory includes working example detection queries per product, the MITRE ATT&CK mapping, and hardening steps. Review it, or let us adapt it to your environment — as the MDR/SOC team, we deploy these rules into our customers' platforms. 👇 To access the report, please email us at: [email protected] InfinitumIT Gökhan Yüceler #cybersecurity #EDR #XDR #MDR #vmware #infinitumit