Los actores de amenazas están aprovechando una nueva técnica de ataque en la vida real que utiliza archivos de consola guardados de manera especialmente elaborada (MSC) para obtener una ejecución completa del código utilizando Microsoft Management Console (MMC) y evadir las defensas de seguridad. Esta táctica, apodada GrimResource por Elastic Security Labs, se identificó a raíz del descubrimiento de un artefacto («sccm-updater.msc») en la plataforma de escaneo de malware VirusTotal el 6 de junio de 2024.
‘
Según Elastic Security Labs, la importación de un archivo de consola manipulado podría aprovechar una vulnerabilidad en una de las librerías de MMC para que los adversarios ejecuten código malicioso, como malware, en el sistema. Asimismo, los ciberdelincuentes tienen la posibilidad de combinar esta técnica con DotNetToJScript, lo que les otorga ejecución de código arbitrario con el potencial de resultar en acceso no autorizado y toma del sistema.
‘
Debido a que los atacantes utilizan tipos de archivos poco comunes, como MSC, como vectores de distribución de malware, se ven involucradas nuevas tácticas para evadir las barreras de seguridad diseñadas por Microsoft, como la desactivación de macros por defecto en los archivos de Office descargados de Internet.
‘
La empresa surcoreana de ciberseguridad Genians detalló anteriormente el uso malicioso de un archivo MSC por parte del grupo Kimsuky, vinculado a Corea del Norte, como medio para distribuir malware. Mientras tanto, el enfoque GrimResource trata de aprovechar una falla de scripting entre sitios (XSS) presente en la librería apds.dll para llevar a cabo la ejecución de código JavaScript arbitrario en el contexto de MMC. A pesar de que esta falla fue reportada a Microsoft y Adobe a finales de 2018, sigue sin estar parcheada.
‘
Esta técnica logra desencadenar el código JavaScript arbitrario al agregar una referencia al recurso APDS vulnerable en la sección StringTable de un archivo MSC malicioso. Lo que resulta en una ejecución de código JavaScript al abrir el archivo en MMC. Esta técnica no solo elude las advertencias de ActiveX, sino que también puede combinarse con DotNetToJScript para conseguir ejecución de código arbitrario, como demostró un ejemplo analizado que utilizaba un componente de carga .NET llamado PASTALOADER, allanando el camino para Cobalt Strike.
‘
Los investigadores de seguridad Joe Desimone y Samir Bousseaden señalan que esta técnica de ataque es una respuesta a las medidas de seguridad implementadas por Microsoft en los últimos años, y especialmente después de la desactivación de macros por defecto en los archivos de Office descargados de Internet. A pesar de que otros vectores de infección como JavaScript, archivos MSI, objetos LNK e ISO han aumentado en popularidad tras esta desactivación de macros, todavía se enfrentan a una alta probabilidad de detección. Por lo tanto, los atacantes han desarrollado esta nueva técnica para ejecutar código arbitrario en Microsoft Management Console utilizando archivos MSC manipulados.
‘
Vía The Hacker News
La entrada Nueva técnica de ataque explota archivos de Consola de Administración de Microsoft se publicó primero en News Bender Daily.
