威胁行为者正在利用一种新颖的攻击技术,该技术利用特制的管理保存控制台(MSC)文件,使用微软管理控制台(MMC)获得完整的代码执行,并逃避安全防御。
弹性安全实验室在识别了2024年6月6日上传到VirusTotal恶意软件扫描平台的工件(“sccm-updater.msc”)后,将该方法代号为GrimResource。
该公司在与《黑客新闻》分享的一份声明中表示,当导入恶意制作的控制台文件时,其中一个MMC库中的漏洞可能导致运行对手代码,包括恶意软件。
攻击者可以将此技术与DotNetToJScript相结合,以获得任意代码执行,这可能会导致未经授权的访问、系统接管等。
使用不常见的文件类型作为恶意软件分发向量,被视为对手绕过微软近年来竖立的安全护栏的另一种尝试,包括默认情况下在从互联网下载的Office文件中禁用宏。
上个月,韩国网络安全公司Genians详细介绍了与朝鲜有联系的Kimsuky黑客组织使用恶意MSC文件来提供恶意软件。
另一方面,GrimResource利用apds.dll库中存在的跨站点脚本(XSS)缺陷,在MMC上下文中执行任意JavaScript代码。XSS缺陷最初于2018年底报告给微软和Adobe,尽管迄今为止仍未修补。
这是通过在恶意MSC文件的StringTable部分添加对易受攻击的APDS资源的引用来实现的,当使用MMC打开时,该文件会触发JavaScript代码的执行。
该技术不仅绕过ActiveX警告,还可以与DotNetToJScript相结合,以获得任意代码执行。分析的样本使用这种方法来启动一个。NET加载器组件被称为PASTALOADER,最终为Cobalt Strike铺平了道路。
安全研究人员Joe Desimone和Samir Bousseaden说,在微软默认禁用互联网源文档的Office宏后,JavaScript、MSI文件、LNK对象和ISO等其他感染载体越来越受欢迎。
“然而,这些其他技术由捍卫者仔细审查,并且很有可能被发现。攻击者开发了一种新技术,使用精心制作的MSC文件在微软管理控制台中执行任意代码。”
参考链接:https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html
暂无评论内容