新的攻击技术利用了微软管理控制台文件

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科新的攻击技术利用了微软管理控制台文件

威胁行为者正在利用一种新颖的攻击技术,该技术利用特制的管理保存控制台(MSC)文件,使用微软管理控制台(MMC)获得完整的代码执行,并逃避安全防御。

弹性安全实验室在识别了2024年6月6日上传到VirusTotal恶意软件扫描平台的工件(“sccm-updater.msc”)后,将该方法代号为GrimResource

该公司在与《黑客新闻》分享的一份声明中表示,当导入恶意制作的控制台文件时,其中一个MMC库中的漏洞可能导致运行对手代码,包括恶意软件。

攻击者可以将此技术与DotNetToJScript相结合,以获得任意代码执行,这可能会导致未经授权的访问、系统接管等。

使用不常见的文件类型作为恶意软件分发向量,被视为对手绕过微软近年来竖立的安全护栏的另一种尝试,包括默认情况下在从互联网下载的Office文件中禁用宏。

上个月,韩国网络安全公司Genians详细介绍了与朝鲜有联系的Kimsuky黑客组织使用恶意MSC文件来提供恶意软件。

另一方面,GrimResource利用apds.dll库中存在的跨站点脚本(XSS)缺陷,在MMC上下文中执行任意JavaScript代码。XSS缺陷最初于2018年底报告给微软和Adobe,尽管迄今为止仍未修补。

这是通过在恶意MSC文件的StringTable部分添加对易受攻击的APDS资源的引用来实现的,当使用MMC打开时,该文件会触发JavaScript代码的执行。

该技术不仅绕过ActiveX警告,还可以与DotNetToJScript相结合,以获得任意代码执行。分析的样本使用这种方法来启动一个。NET加载器组件被称为PASTALOADER,最终为Cobalt Strike铺平了道路。

安全研究人员Joe Desimone和Samir Bousseaden说,在微软默认禁用互联网源文档的Office宏后,JavaScript、MSI文件、LNK对象和ISO等其他感染载体越来越受欢迎。

“然而,这些其他技术由捍卫者仔细审查,并且很有可能被发现。攻击者开发了一种新技术,使用精心制作的MSC文件在微软管理控制台中执行任意代码。”

参考链接:https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容