Logiciel De Piratage Cobalt Strike

HelpSystems, la société à l’origine de la plate-forme logicielle Cobalt Strike, a publié une mise à jour de sécurité hors bande pour résoudre une vulnérabilité d’exécution de code à distance qui pourrait permettre à un attaquant de prendre le contrôle des systèmes ciblés.

Cobalt Strike est un framework commercial d’équipe rouge qui est principalement utilisé pour la simulation d’adversaires, mais des versions crackées du logiciel ont été activement abusé par les opérateurs de rançongiciels et les groupes de menace persistante avancée (APT) axés sur l’espionnage.

La outil de post-exploitation se compose d’un serveur d’équipe, qui fonctionne comme un composant de commande et de contrôle (C2), et d’une balise, le logiciel malveillant par défaut utilisé pour créer une connexion au serveur d’équipe et supprimer les charges utiles de l’étape suivante.

La Cyber-Sécurité

Le problème, suivi comme CVE-2022-42948affecte Cobalt Strike version 4.7.1, et découle d’un patch incomplet publié le 20 septembre 2022, pour rectifier un cross-site scripting (XSS) vulnérabilité (CVE-2022-39197) pouvant conduire à l’exécution de code à distance.

« La vulnérabilité XSS pourrait être déclenchée en manipulant certains champs de saisie de l’interface utilisateur côté client, en simulant un enregistrement d’implant Cobalt Strike ou en connectant un implant Cobalt Strike exécuté sur un hôte », ont déclaré Rio Sherri et Ruben Boonen, chercheurs d’IBM X-Force. a dit dans un écrit.

Publicité

YouTube video

Cependant, il a été constaté que l’exécution de code à distance pouvait être déclenchée dans des cas spécifiques en utilisant le Cadre Java Swingla boîte à outils d’interface utilisateur graphique utilisée pour concevoir Cobalt Strike.

« Certains composants de Java Swing interpréteront automatiquement tout texte comme du contenu HTML s’il commence par « , déclare Greg Darwin, responsable du développement logiciel chez HelpSystems, expliqué dans un poste. « La désactivation de l’analyse automatique des balises html sur l’ensemble du client était suffisante pour atténuer ce comportement. »

La Cyber-Sécurité

Cela signifie qu’un acteur malveillant pourrait exploiter ce comportement au moyen d’un Balise HTML en l’utilisant pour charger une charge utile personnalisée hébergée sur un serveur distant et l’injecter dans le champ de note ainsi que le menu graphique de l’explorateur de fichiers dans l’interface utilisateur de Cobalt Strike.

« Il convient de noter ici qu’il s’agit d’une primitive d’exploitation très puissante », ont déclaré les chercheurs d’IBM, ajoutant qu’elle pourrait être utilisée pour « construire une charge utile multiplateforme complète qui serait capable d’exécuter du code sur la machine de l’utilisateur, quel que soit le système d’exploitation. saveur ou architecture du système. »

Les conclusions surviennent un peu plus d’une semaine après que le département américain de la Santé et des Services sociaux (HHS) mis en garde de la militarisation continue d’outils légitimes tels que Cobalt Strike dans des attaques visant le secteur de la santé.

Rate this post
Publicité
Article précédentMark Zuckerberg dit qu’iMessage est moins sécurisé que WhatsApp
Article suivantComment installer Kodi sur Ubuntu, Debian, Arch Linux et OpenSUSE
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici