Hackers estão explorando uma nova técnica de ataque que utiliza arquivos no management saved console (MSC) especialmente criados para executar códigos através do Microsoft Management Console (MMC), evitando os componentes de segurança.
O Elastic Security Labs nomeou essa abordagem de GrimResource após identificar um artefato ("sccm-updater.msc") carregado na plataforma de verificação de malware VirusTotal em 6 de junho de 2024.
"Quando um arquivo de console malicioso é importado, uma vulnerabilidade em uma das bibliotecas do MMC pode permitir a execução de adversary code, incluindo malware", afirmou a empresa em um comunicado.
"Os hackers podem combinar essa técnica com o DotNetToJScript para obter execução arbitrária de código, o que pode resultar em acesso não autorizado, tomada de controle do sistema e mais."
O uso de tipos de arquivos incomuns como vetor de distribuição de malware é visto como uma alternativa dos hackers de contornar os mecanismos de segurança da Microsoft nos últimos anos, incluindo a desativação de macros por padrão em arquivos do Office baixados da internet.
No mês passado, a empresa de cibersegurança sul-coreana Genians detalhou o uso de um arquivo MSC malicioso pelo grupo de hackers Kimsuky para distribuir malware.
Por outro lado, o GrimResource explora uma falha de cross-site scripting (XSS) presente na biblioteca apds.dll para executar código JavaScript arbitrário no contexto do MMC. A falha XSS foi originalmente reportada à Microsoft e à Adobe no final de 2018, mas permanece sem correção até hoje.
Isso é realizado adicionando uma referência ao recurso vulnerável APDS na seção StringTable de um arquivo MSC malicioso, que, quando aberto usando o MMC, desencadeia a execução do código JavaScript.
A técnica não só contorna os avisos do ActiveX, como também pode ser combinada com o DotNetToJScript para obter execução arbitrária de código. A amostra analisada usa essa abordagem para lançar um componente de carregamento do .NET chamado PASTALOADER, que eventualmente abre caminho para o Cobalt Strike.
"Depois que a Microsoft desativou por padrão as macros do Office para documentos oriundos da internet, outros vetores de infecção, como JavaScript, arquivos MSI, objetos LNK e ISOs, aumentaram em popularidade", disseram os pesquisadores de segurança Joe Desimone e Samir Bousseaden.
"No entanto, essas outras técnicas são examinadas pelas soluções de segurança e têm uma alta probabilidade de detecção. Os hackers desenvolveram uma nova técnica para executar código arbitrário no Microsoft Management Console usando arquivos MSC criados."
Via - THN
Comments