Nova técnica de ataque explora arquivos do console de gerenciamento Microsoft
![ms](https://i3.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhMQRF2cq1eSn0coXjgDbG-psBCbd7fvhMQjuw1V1qvhSPyIb_wTAnhTPO_DfUIqPo6-2k8Z_MiwwrhfCfybI2qVTmE0Hw_mNLjyV1eD1WS6mRs-s_Ipx0nitYbulgHfedsaETvy4G2YRyHL0QBlMHCacSRnvd1o3YDFhKxF6yQUWeO-fLKGL0kcEY0Bs6I/s728-rw-e365/ms.png?w=780&resize=780,470&ssl=1)
![Arquivos do console de gerenciamento Microsoft Arquivos do console de gerenciamento Microsoft](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhMQRF2cq1eSn0coXjgDbG-psBCbd7fvhMQjuw1V1qvhSPyIb_wTAnhTPO_DfUIqPo6-2k8Z_MiwwrhfCfybI2qVTmE0Hw_mNLjyV1eD1WS6mRs-s_Ipx0nitYbulgHfedsaETvy4G2YRyHL0QBlMHCacSRnvd1o3YDFhKxF6yQUWeO-fLKGL0kcEY0Bs6I/s728-rw-e365/ms.png)
Os agentes de ameaças estão explorando uma nova técnica de ataque que utiliza arquivos de console salvos de gerenciamento (MSC) especialmente criados para obter execução completa de código usando o Microsoft Administration Console (MMC) e escapar das defesas de segurança.
Elastic Safety Labs deu o codinome à abordagem GrimResource após identificar um artefato (“sccm-updater.msc”) que foi carregado na plataforma de verificação de malware VirusTotal em 6 de junho de 2024.
“Quando um arquivo de console criado com códigos maliciosos é importado, uma vulnerabilidade em uma das bibliotecas MMC pode levar à execução de código adversário, incluindo malware”, disse a empresa em comunicado compartilhado com o The Hacker Information.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
“Os invasores podem combinar essa técnica com DotNetToJScript para obter execução arbitrária de código, o que pode levar a acesso não autorizado, controle do sistema e muito mais.”
O uso de tipos de arquivos incomuns como vetor de distribuição de malware é visto como uma tentativa alternativa dos adversários de contornar as proteções de segurança erguidas pela Microsoft nos últimos anos, incluindo a desativação de macros por padrão em arquivos do Workplace baixados da Web.
No mês passado, a empresa sul-coreana de segurança cibernética Genians detalhou o uso de um arquivo MSC malicioso pelo grupo de hackers Kimsuky, ligado à Coreia do Norte, para entregar malware.
GrimResource, por outro lado, explora uma falha de cross-site scripting (XSS) presente na biblioteca apds.dll para executar código JavaScript arbitrário no contexto do MMC. A falha XSS foi originalmente relatada à Microsoft e à Adobe no closing de 2018, embora permaneça sem correção até o momento.
Isso é feito adicionando uma referência ao recurso APDS vulnerável na seção StringTable de um arquivo MSC malicioso, que, quando aberto usando MMC, aciona a execução do código JavaScript.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
A técnica não apenas ignora os avisos do ActiveX, mas também pode ser combinada com DotNetToJScript para obter execução arbitrária de código. A amostra analisada usa essa abordagem para lançar um componente de carregamento .NET denominado PASTALOADER que, em última análise, abre caminho para o Cobalt Strike.
“Depois que a Microsoft desativou as macros do Workplace por padrão para documentos provenientes da Web, outros vetores de infecção como JavaScript, arquivos MSI, objetos LNK e ISOs ganharam popularidade”, disseram os pesquisadores de segurança Joe Desimone e Samir Bousseaden.
“No entanto, essas outras técnicas são examinadas pelos defensores e têm uma alta probabilidade de detecção. Os invasores desenvolveram uma nova técnica para executar código arbitrário no Microsoft Administration Console usando arquivos MSC criados.”