HelpSystems, la société à l’origine de la plate-forme logicielle Cobalt Strike, a publié une mise à jour de sécurité hors bande pour résoudre une vulnérabilité d’exécution de code à distance qui pourrait permettre à un attaquant de prendre le contrôle des systèmes ciblés.
Cobalt Strike est un framework commercial d’équipe rouge qui est principalement utilisé pour la simulation d’adversaires, mais des versions crackées du logiciel ont été activement abusé par les opérateurs de rançongiciels et les groupes de menace persistante avancée (APT) axés sur l’espionnage.
La outil de post-exploitation se compose d’un serveur d’équipe, qui fonctionne comme un composant de commande et de contrôle (C2), et d’une balise, le logiciel malveillant par défaut utilisé pour créer une connexion au serveur d’équipe et supprimer les charges utiles de l’étape suivante.
Le problème, suivi comme CVE-2022-42948affecte Cobalt Strike version 4.7.1, et découle d’un patch incomplet publié le 20 septembre 2022, pour rectifier un cross-site scripting (XSS) vulnérabilité (CVE-2022-39197) pouvant conduire à l’exécution de code à distance.
« La vulnérabilité XSS pourrait être déclenchée en manipulant certains champs de saisie de l’interface utilisateur côté client, en simulant un enregistrement d’implant Cobalt Strike ou en connectant un implant Cobalt Strike exécuté sur un hôte », ont déclaré Rio Sherri et Ruben Boonen, chercheurs d’IBM X-Force. a dit dans un écrit.
Cependant, il a été constaté que l’exécution de code à distance pouvait être déclenchée dans des cas spécifiques en utilisant le Cadre Java Swingla boîte à outils d’interface utilisateur graphique utilisée pour concevoir Cobalt Strike.
« Certains composants de Java Swing interpréteront automatiquement tout texte comme du contenu HTML s’il commence par « , déclare Greg Darwin, responsable du développement logiciel chez HelpSystems, expliqué dans un poste. « La désactivation de l’analyse automatique des balises html sur l’ensemble du client était suffisante pour atténuer ce comportement. »
Cela signifie qu’un acteur malveillant pourrait exploiter ce comportement au moyen d’un Balise HTML en l’utilisant pour charger une charge utile personnalisée hébergée sur un serveur distant et l’injecter dans le champ de note ainsi que le menu graphique de l’explorateur de fichiers dans l’interface utilisateur de Cobalt Strike.
« Il convient de noter ici qu’il s’agit d’une primitive d’exploitation très puissante », ont déclaré les chercheurs d’IBM, ajoutant qu’elle pourrait être utilisée pour « construire une charge utile multiplateforme complète qui serait capable d’exécuter du code sur la machine de l’utilisateur, quel que soit le système d’exploitation. saveur ou architecture du système. »
Les conclusions surviennent un peu plus d’une semaine après que le département américain de la Santé et des Services sociaux (HHS) mis en garde de la militarisation continue d’outils légitimes tels que Cobalt Strike dans des attaques visant le secteur de la santé.