Une nouvelle technique d’exécution de commandes baptisée « GrimResource » utilise une console MSC (Microsoft Saved Console) spécialement conçue et une faille Windows XSS non corrigée pour exécuter du code via la console de gestion Microsoft.
En juillet 2022, Microsoft a désactivé les macros par défaut dans Office, obligeant les auteurs de menaces à expérimenter de nouveaux types de fichiers lors d’attaques de phishing. Les attaquants sont d’abord passés aux images ISO et aux fichiers ZIP protégés par mot de passe, car les types de fichiers ne propageaient pas correctement les indicateurs de la marque du Web (MoTW) vers les fichiers extraits.
Après que Microsoft a résolu ce problème dans les fichiers ISO et que 7-Zip a ajouté l’option de propagation des indicateurs MoTW, les attaquants ont été contraints de passer à de nouvelles pièces jointes, telles que les raccourcis Windows et les fichiers OneNote.
Les attaquants sont maintenant passés à un nouveau type de fichier, Windows MSC (.fichiers msc), qui sont utilisés dans la console de gestion Microsoft (MMC) pour gérer divers aspects du système d’exploitation ou créer des vues personnalisées des outils couramment utilisés.
L’abus de fichiers MSC pour déployer des logiciels malveillants avait déjà été signalé par la société de cybersécurité sud-coréenne Genian. Motivée par cette recherche, l’équipe Elastic a découvert une nouvelle technique de distribution de fichiers MSC et d’abus d’une ancienne faille Windows XSS non corrigée dans apds.dll pour déployer Cobalt Strike.
Elastic a trouvé un exemple (‘sccm-updater.msc’) a récemment été téléchargé sur VirusTotal le 6 juin 2024, qui exploite GrimResource, de sorte que la technique est activement exploitée dans la nature. Pour aggraver les choses, aucun moteur antivirus sur VirusTotal ne l’a signalé comme malveillant.
Bien que cette campagne utilise la technique pour déployer Cobalt Strike pour l’accès initial aux réseaux, elle pourrait également être utilisée pour exécuter d’autres commandes.
Les chercheurs ont confirmé à Breachtrace que la faille XSS n’était toujours pas corrigée dans la dernière version de Windows 11.
Comment fonctionne GrimResource
L’attaque GrimResource commence par un fichier MSC malveillant qui tente d’exploiter une ancienne faille de script intersite (XSS) basée sur DOM dans les APD.bibliothèque dll’, qui permet l’exécution de JavaScript arbitraire via une URL contrefaite.
La vulnérabilité a été signalée à Adobe et Microsoft en octobre 2018, et pendant que les deux enquêtaient, Microsoft a déterminé que le cas ne répondait pas aux critères de correction immédiate.
En mars 2019, la faille XSS n’était toujours pas corrigée et on ne sait pas si elle a jamais été corrigée. Breachtrace a contacté Microsoft pour confirmer s’ils avaient corrigé la faille, mais aucun commentaire n’était immédiatement disponible.
Le fichier MSC malveillant distribué par les attaquants contient une référence à la ressource APDS vulnérable dans la section StringTable, donc lorsque la cible l’ouvre, MMC la traite et déclenche l’exécution JS dans le contexte de ‘mmc.exé.’
Elastic explique que la faille XSS peut être combinée avec la technique « Dot Net To JScript » pour exécuter du code. NET arbitraire via le moteur JavaScript, en contournant toutes les mesures de sécurité en place.
L’exemple examiné utilise l’obscurcissement ‘transformNode’ pour échapper aux avertissements ActiveX, tandis que le code JS reconstruit un VBScript qui utilise DotNetToJScript pour charger un composant.NET nommé ‘PASTALOADER.’
PASTA LOADER récupère une charge utile Cobalt Strike à partir des variables d’environnement définies par le VBScript, génère une nouvelle instance de ‘dllhost.exe, ‘et l’injecte en utilisant la technique’ DirtyCLR ‘ combinée à un décrochage de fonction et à des appels système indirects.
Samir Bousseaden, chercheur sur Elastic, a partagé une démonstration de la sinistre attaque de ressources sur X.
Arrêter une Ressource Sinistre
En général, il est conseillé aux administrateurs système d’être à l’affût des éléments suivants:
- Opérations sur les fichiers impliquant des apd.dll invoquée par mmc.exé.
- Exécutions suspectes via MCC, en particulier les processus générés par mmc.exe avec .arguments du fichier msc.
- Allocations de mémoire RWX par mmc.exe qui proviennent de scriptengines ou .Composants réseau.
- Création inhabituelle d’objets COM. NET dans des interpréteurs de script non standard tels que JScript ou VBScript.
- Fichiers HTML temporaires créés dans le dossier INetCache à la suite de la redirection APDS XSS.
Elastic Security a également publié une liste complète des indicateurs de ressources criminelles sur GitHub et fourni des règles YARA dans le rapport pour aider les défenseurs à détecter les fichiers MSC suspects.