O nouă tehnică de executare a comenzilor numită ‘GrimResource’ folosește fișiere MSC (Microsoft Saved Console) create special și o defecțiune neacoperită XSS în Windows pentru a executa cod prin Consola de Management Microsoft.
În iulie 2022, Microsoft a dezactivat macro-urile implicit în Office, determinând actorii răufăcători să experimenteze cu noi tipuri de fișiere în atacurile de phishing. Atacatorii au trecut inițial la imagini ISO și fișiere ZIP protejate cu parolă, deoarece aceste tipuri de fișiere nu propagau corect marcajele Mark of the Web (MoTW) către fișierele extrase.
După ce Microsoft a remediat această problemă în fișierele ISO și 7-Zip a adăugat opțiunea de a propaga marcajele MoTW, atacatorii au fost forțați să treacă la noi atașamente, cum ar fi Scurtături Windows și fișiere OneNote.
Atacatorii au trecut acum la un nou tip de fișier, fișierele Windows MSC (.msc), care sunt utilizate în Consola de Management Microsoft (MMC) pentru a gestiona diverse aspecte ale sistemului de operare sau pentru a crea vizualizări personalizate ale uneltelor accesate în mod obișnuit.
Abuzul fișierelor MSC pentru a implementa malware a fost raportat anterior de firma sud-coreeană de securitate cibernetică Genian. Motivați de această cercetare, echipa Elastic a descoperit o nouă tehnică de distribuire a fișierelor MSC și abuzarea unei defecțiuni vechi, dar neacoperite XSS în apds.dll pentru a implementa Cobalt Strike.
Elastic a descoperit un eșantion (‘sccm-updater.msc’) încărcat recent pe VirusTotal la 6 iunie 2024, care folosește GrimResource, deci tehnica este exploatată activ în natură. Pentru a agrava lucrurile, niciun motor antivirus de pe VirusTotal nu l-a marcat drept rău intenționat.
În timp ce această campanie folosește tehnica pentru a implementa Cobalt Strike pentru accesul inițial la rețele, ar putea fi folosită și pentru a executa alte comenzi.
Cercetătorii au confirmat pentru Bleepingcomputer că defecțiunea XSS este încă neacoperită în cea mai recentă versiune a Windows 11.
Atacul GrimResource începe cu un fișier MSC rău intenționat care încearcă să exploateze o veche defecțiune DOM-based cross-site scripting (XSS) în biblioteca ‘apds.dll’, care permite executarea de JavaScript arbitrar printr-un URL creat special.
Vulnerabilitatea a fost raportată către Adobe și Microsoft în octombrie 2018, iar în timp ce ambele au investigat, Microsoft a determinat că cazul nu îndeplinea criteriile pentru o remediere imediată.
Până în martie 2019, defecțiunea XSS a rămas neacoperită, iar nu este clar dacă a fost vreodată abordată. BleepingComputer a contactat Microsoft pentru a confirma dacă au remediat defecțiunea, dar un comentariu nu a fost imediat disponibil.
Fișierul MSC rău intenționat distribuit de atacatori conține o referință la resursa APDS vulnerabilă în secțiunea StringTable, astfel că atunci când ținta îl deschide, MMC îl procesează și declanșează execuția JS în contextul lui ‘mmc.exe’.
Elastic explică că defecțiunea XSS poate fi combinată cu tehnica ‘DotNetToJScript’ pentru a executa cod .NET arbitrar prin motorul JavaScript, ocolind orice măsuri de securitate existente.
Eșantionul examinat folosește obfuscarea ‘transformNode’ pentru a evita avertismentele ActiveX, în timp ce codul JS reconstruiește un VBScript care folosește DotNetToJScript pentru a încărca un component .NET numit ‘PASTALOADER’.
PASTALOADER preia un payload Cobalt Strike din variabilele de mediu setate de VBScript, lansează o nouă instanță a ‘dllhost.exe’ și o injectează folosind tehnica ‘DirtyCLR’ combinată cu dezactivarea funcțiilor și apeluri indirecte ale sistemului.
Cercetătorul Elastic Samir Bousseaden a distribuit o demonstrație a atacului GrimResource pe X.
În general, administratorii de sistem sunt sfătuiți să fie vigilenți pentru următoarele:
Elastic Security a publicat de asemenea o listă completă a indicatorilor GrimResource pe GitHub și a furnizat reguli YARA în raport pentru a ajuta apărătorii să detecteze fișiere MSC suspecte.
Actualizarea Microsoft Photos aduce funcții solicitate în Windows 11
Microsoft depreciază protocolul de autentificare Windows DirectAccess, recomandă Always On VPN
Actualizarea Patch Tuesday din iunie 2024 a Microsoft corectează 51 de defecțiuni, 18 RCE-uri
Actualizarea Windows 11 KB5039212 lansată cu 37 de modificări, corecții
Microsoft depreciază protocolul de autentificare Windows NTLM
Leave a Reply