Nieuwe aanvalstechniek maakt misbruik van Microsoft Management Console-bestanden

Bedreigingsactoren maken misbruik van een nieuwe aanvalstechniek in het wild die speciaal vervaardigde MSC-bestanden (Management Saved Console) gebruikt om volledige code-uitvoering te verkrijgen met behulp van Microsoft Management Console (MMC) en beveiligingsmaatregelen te omzeilen.

Elastic Security Labs heeft de aanpak een codenaam gegeven GrimResource na het identificeren van een artefact (“sccm-updater.msc”) dat op 6 juni 2024 naar het VirusTotal-malwarescanplatform was geüpload.

“Wanneer een kwaadwillig vervaardigd consolebestand wordt geïmporteerd, kan een kwetsbaarheid in een van de MMC-bibliotheken leiden tot het uitvoeren van vijandige code, waaronder malware”, aldus het bedrijf in een verklaring gedeeld met The Hacker News.

“Aanvallers kunnen deze techniek combineren met DotNetToJScript om willekeurige code-uitvoering te verkrijgen, wat kan leiden tot ongeoorloofde toegang, systeemovername en meer.”

Het gebruik van ongebruikelijke bestandstypen als malwareverspreidingsvector wordt gezien als een alternatieve poging van kwaadwillenden om de beveiligingsrails te omzeilen die Microsoft de afgelopen jaren heeft opgezet, waaronder het standaard uitschakelen van macro’s in Office-bestanden die van internet zijn gedownload.

Vorige maand heeft het Zuid-Koreaanse cyberbeveiligingsbedrijf Genians het gebruik van een kwaadaardig MSC-bestand door de aan Noord-Korea gelinkte hackgroep Kimsuky beschreven om malware te verspreiden.

GrimResource daarentegen maakt gebruik van een cross-site scripting (XSS)-fout in de apds.dll-bibliotheek om willekeurige JavaScript-code uit te voeren in de context van MMC. De XSS-fout werd oorspronkelijk eind 2018 aan Microsoft en Adobe gemeld, maar is tot op heden nog steeds niet gepatcht.

Dit wordt bereikt door een verwijzing naar de kwetsbare APDS-bron toe te voegen in de StringTable-sectie van een kwaadaardig MSC-bestand, dat, wanneer het wordt geopend met MMC, de uitvoering van JavaScript-code activeert.

De techniek omzeilt niet alleen ActiveX-waarschuwingen, maar kan ook worden gecombineerd met DotNetToJScript om willekeurige code-uitvoering te verkrijgen. Het geanalyseerde monster gebruikt deze aanpak om een ​​.NET-ladercomponent genaamd PASTALOADER te lanceren die uiteindelijk de weg vrijmaakt voor Cobalt Strike.

“Nadat Microsoft Office-macro’s standaard had uitgeschakeld voor documenten van internet, zijn andere infectievectoren zoals JavaScript, MSI-bestanden, LNK-objecten en ISO’s enorm in populariteit gestegen”, aldus beveiligingsonderzoekers Joe Desimone en Samir Bousseaden.

“Deze andere technieken worden echter onder de loep genomen door verdedigers en hebben een grote kans op detectie. Aanvallers hebben een nieuwe techniek ontwikkeld om willekeurige code uit te voeren in Microsoft Management Console met behulp van vervaardigde MSC-bestanden.”

Thijs Van der Does