les fenêtres

Une nouvelle technique d'exécution de commande baptisée « GrimResource » utilise un MSC (Microsoft Saved Console) spécialement conçu et une faille Windows XSS non corrigée pour exécuter du code via la console de gestion Microsoft.

En juillet 2022, Microsoft a désactivé les macros par défaut dans Office, ce qui a amené les acteurs malveillants à expérimenter de nouveaux types de fichiers dans le cadre d'attaques de phishing. Les attaquants ont d'abord opté pour des images ISO et des fichiers ZIP protégés par mot de passe, car les types de fichiers ne propageaient pas correctement les indicateurs Mark of the Web (MoTW) aux fichiers extraits.

Après que Microsoft a résolu ce problème dans les fichiers ISO et que 7-Zip a ajouté l'option permettant de propager les indicateurs MoTW, les attaquants ont été contraints de basculer vers de nouvelles pièces jointes, telles que les raccourcis Windows et les fichiers OneNote.

Publicité

Les attaquants sont désormais passés à un nouveau type de fichier, les fichiers Windows MSC (.msc), qui sont utilisés dans la Microsoft Management Console (MMC) pour gérer divers aspects du système d'exploitation ou créer des vues personnalisées des outils couramment utilisés.

L'utilisation abusive des fichiers MSC pour déployer des logiciels malveillants a déjà été signalée par une société de cybersécurité sud-coréenne. Génien. Motivé par cette recherche, le L'équipe Elastic a découvert une nouvelle technique de distribution de fichiers MSC et d'abus d'une faille Windows XSS ancienne mais non corrigée dans apds.dll pour déployer Cobalt Strike.

Elastic a trouvé un échantillon (« sccm-updater.msc ») récemment téléchargé sur VirusTotal le 6 juin 2024, qui exploite GrimResource, la technique est donc activement exploitée dans la nature. Pour aggraver les choses, aucun moteur antivirus n'est activé VirusTotal l'a signalé comme malveillant.

Bien que cette campagne utilise la technique pour déployer Cobalt Strike pour un accès initial aux réseaux, elle pourrait également être utilisée pour exécuter d'autres commandes.

Les chercheurs ont confirmé à Bleepingcomputer que la faille XSS n'est toujours pas corrigée dans la dernière version de Windows 11.

Comment fonctionne GrimResource

L'attaque GrimResource commence par un fichier MSC malveillant qui tente d'exploiter un ancienne faille XSS (cross-site scripting) basée sur DOM dans la bibliothèque 'apds.dll', qui permet l'exécution de JavaScript arbitraire via une URL spécialement construite.

La vulnérabilité a été signalée à Adobe et Microsoft en octobre 2018, et pendant que les deux enquêtaient, Microsoft a déterminé que le cas ne répondait pas aux critères d'une correction immédiate.

Dès mars 2019, la faille XSS n'a pas été corrigée et il n'est pas clair si elle a jamais été corrigée. BleepingComputer a contacté Microsoft pour confirmer s'ils avaient corrigé la faille, mais aucun commentaire n'était immédiatement disponible.

Le fichier MSC malveillant distribué par les attaquants contient une référence à la ressource APDS vulnérable dans la section StringTable. Ainsi, lorsque la cible l'ouvre, MMC le traite et déclenche l'exécution de JS dans le contexte de « mmc.exe ».

Référence à la redirection apds.dll dans StringTable
Référence à la redirection apds.dll dans StringTable Source : Sécurité élastique

Elastic explique que la faille XSS peut être combinée avec la technique « DotNetToJScript » pour exécuter du code .NET arbitraire via le moteur JavaScript, contournant ainsi toutes les mesures de sécurité en place.

L'exemple examiné utilise l'obscurcissement « transformNode » pour éviter les avertissements ActiveX, tandis que le code JS reconstruit un VBScript qui utilise DotNetToJScript pour charger un composant .NET nommé « PASTALOADER ».

Le fichier VBScript malveillant
Le fichier VBScript malveillant Source : Sécurité élastique

PASTALOADER récupère une charge utile Cobalt Strike à partir des variables d'environnement définies par le VBScript, génère une nouvelle instance de « dllhost.exe » et l'injecte à l'aide du «SaleCLR' technique combinée avec le décrochage de fonctions et les appels système indirects.

Cobalt Strike injecté dans dllhost.exe
Cobalt Strike injecté dans dllhost.exe Source : Elastic Security

Le chercheur Elastic Samir Bousseaden a partagé une démonstration de l'attaque GrimResource sur X.

Démonstration de l'attaque GrimResource
Démonstration de l'attaque GrimResource

Arrêter GrimResource

En général, il est conseillé aux administrateurs système d'être attentifs aux éléments suivants :

  • Opérations sur les fichiers impliquant apds.dll invoquées par mmc.exe.
  • Exécutions suspectes via MCC, en particulier les processus générés par mmc.exe avec des arguments de fichier .msc.
  • Allocations de mémoire RWX par mmc.exe provenant de moteurs de script ou de composants .NET.
  • Création d'objets .NET COM inhabituels dans des interpréteurs de script non standard comme JScript ou VBScript.
  • Fichiers HTML temporaires créés dans le dossier INetCache suite à la redirection APDS XSS.

Elastic Security a également publié une liste complète des indicateurs GrimResource sur GitHub et a fourni des règles YARA dans le rapport pour aider les défenseurs à détecter les fichiers MSC suspects.

5/5 - (357 votes)
Publicité
Article précédentL'arbre généalogique de la famille Targaryen – Le casting de House of the Dragon, dont Rhaenyra, Aemond, Aegon et plus
Article suivantLa mise à jour Elden Ring Shadow of the Erdtree facilite l'extension
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici