Os agentes de ameaças estão explorando uma nova técnica de ataque que utiliza arquivos de console salvos de gerenciamento (MSC) especialmente criados para obter execução completa de código usando o Microsoft Administration Console (MMC) e escapar das defesas de segurança.
Elastic Safety Labs deu o codinome à abordagem GrimResource após identificar um artefato (“sccm-updater.msc”) que foi carregado na plataforma de verificação de malware VirusTotal em 6 de junho de 2024.
“Quando um arquivo de console criado com códigos maliciosos é importado, uma vulnerabilidade em uma das bibliotecas MMC pode levar à execução de código adversário, incluindo malware”, disse a empresa em comunicado compartilhado com o The Hacker Information.
“Os invasores podem combinar essa técnica com DotNetToJScript para obter execução arbitrária de código, o que pode levar a acesso não autorizado, controle do sistema e muito mais.”
O uso de tipos de arquivos incomuns como vetor de distribuição de malware é visto como uma tentativa alternativa dos adversários de contornar as proteções de segurança erguidas pela Microsoft nos últimos anos, incluindo a desativação de macros por padrão em arquivos do Workplace baixados da Web.
No mês passado, a empresa sul-coreana de segurança cibernética Genians detalhou o uso de um arquivo MSC malicioso pelo grupo de hackers Kimsuky, ligado à Coreia do Norte, para entregar malware.
GrimResource, por outro lado, explora uma falha de cross-site scripting (XSS) presente na biblioteca apds.dll para executar código JavaScript arbitrário no contexto do MMC. A falha XSS foi originalmente relatada à Microsoft e à Adobe no closing de 2018, embora permaneça sem correção até o momento.
Isso é feito adicionando uma referência ao recurso APDS vulnerável na seção StringTable de um arquivo MSC malicioso, que, quando aberto usando MMC, aciona a execução do código JavaScript.
A técnica não apenas ignora os avisos do ActiveX, mas também pode ser combinada com DotNetToJScript para obter execução arbitrária de código. A amostra analisada usa essa abordagem para lançar um componente de carregamento .NET denominado PASTALOADER que, em última análise, abre caminho para o Cobalt Strike.
“Depois que a Microsoft desativou as macros do Workplace por padrão para documentos provenientes da Web, outros vetores de infecção como JavaScript, arquivos MSI, objetos LNK e ISOs ganharam popularidade”, disseram os pesquisadores de segurança Joe Desimone e Samir Bousseaden.
“No entanto, essas outras técnicas são examinadas pelos defensores e têm uma alta probabilidade de detecção. Os invasores desenvolveram uma nova técnica para executar código arbitrário no Microsoft Administration Console usando arquivos MSC criados.”
