新的攻击技术利用了微软管理控制台文件

威胁行为者正在利用一种新颖的攻击技术，该技术利用特制的管理保存控制台（MSC）文件，使用微软管理控制台（MMC）获得完整的代码执行，并逃避安全防御。

弹性安全实验室在识别了2024年6月6日上传到VirusTotal恶意软件扫描平台的工件（“sccm-updater.msc”）后，将该方法代号为GrimResource。

该公司在与《黑客新闻》分享的一份声明中表示，当导入恶意制作的控制台文件时，其中一个MMC库中的漏洞可能导致运行对手代码，包括恶意软件。

攻击者可以将此技术与DotNetToJScript相结合，以获得任意代码执行，这可能会导致未经授权的访问、系统接管等。

使用不常见的文件类型作为恶意软件分发向量，被视为对手绕过微软近年来竖立的安全护栏的另一种尝试，包括默认情况下在从互联网下载的Office文件中禁用宏。

上个月，韩国网络安全公司Genians详细介绍了与朝鲜有联系的Kimsuky黑客组织使用恶意MSC文件来提供恶意软件。

另一方面，GrimResource利用apds.dll库中存在的跨站点脚本（XSS）缺陷，在MMC上下文中执行任意JavaScript代码。XSS缺陷最初于2018年底报告给微软和Adobe，尽管迄今为止仍未修补。

这是通过在恶意MSC文件的StringTable部分添加对易受攻击的APDS资源的引用来实现的，当使用MMC打开时，该文件会触发JavaScript代码的执行。

该技术不仅绕过ActiveX警告，还可以与DotNetToJScript相结合，以获得任意代码执行。分析的样本使用这种方法来启动一个。NET加载器组件被称为PASTALOADER，最终为Cobalt Strike铺平了道路。

安全研究人员Joe Desimone和Samir Bousseaden说，在微软默认禁用互联网源文档的Office宏后，JavaScript、MSI文件、LNK对象和ISO等其他感染载体越来越受欢迎。

“然而，这些其他技术由捍卫者仔细审查，并且很有可能被发现。攻击者开发了一种新技术，使用精心制作的MSC文件在微软管理控制台中执行任意代码。”

参考链接：https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html