'Grimresource' olarak adlandırılan yeni bir komut yürütme tekniği, Microsoft Management konsolu aracılığıyla kod yürütme yapmak için özel olarak hazırlanmış MSC (Microsoft Kaydedilmiş Konsol) ve eşleştirilmemiş bir Windows XSS kusurunu kullanır.
Temmuz 2022'de Microsoft, Makroları Varsayılan Ofis'de devre dışı bıraktı ve tehdit aktörlerinin kimlik avı saldırılarında yeni dosya türlerini denemelerine neden oldu. Dosya türleri web (MOTW) bayraklarının işaretini çıkarılan dosyalara doğru bir şekilde yaymadığından saldırganlar ilk olarak ISO görüntülerine ve şifre korumalı zip dosyalarına geçti.
Microsoft bu sorunu ISO dosyalarında düzelttikten ve 7-ZIP MOTW bayraklarını yayma seçeneği ekledikten sonra, saldırganlar Windows kısayolları ve OneNote dosyaları gibi yeni eklere geçmek zorunda kaldı.
Saldırganlar artık işletim sisteminin çeşitli yönlerini yönetmek veya yaygın olarak erişilen araçların özel görünümlerini oluşturmak için Microsoft Yönetim Konsolu'nda (MMC) kullanılan yeni bir dosya türü olan Windows MSC (.msc) dosyalarına geçti.
MSC dosyalarının kötü amaçlı yazılım dağıtmak için kötüye kullanılması daha önce Güney Kore siber güvenlik firması Genian tarafından bildirilmiştir. Bu araştırma ile motive olan elastik ekip, MSC dosyalarını dağıtmak ve kobalt grevini dağıtmak için eski ama eşsiz bir Windows XSS kusurunu APDS.DLL'de kötüye kullanmak için yeni bir teknik keşfetti.
Elastik, 6 Haziran 2024'te Grimresource'tan yararlanan bir örnek ('SCCM-updater.msc') buldu, böylece teknik aktif olarak vahşi doğada sömürüldü. Daha da kötüsü, Virustotal'daki hiçbir antivirüs motoru kötü niyetli olarak işaretlemedi.
Bu kampanya, ağlara ilk erişim için Cobalt Strike'ı dağıtmak için tekniği kullanırken, diğer komutları yürütmek için de kullanılabilir.
Araştırmacılar, BleepingComputer'a XSS kusurunun Windows 11'in en son sürümünde hala açıldığını doğruladılar.
Grimresource saldırısı, hazırlanmış bir URL aracılığıyla keyfi JavaScript'in yürütülmesine izin veren 'APDS.dll' kitaplığındaki eski DOM tabanlı bölgeler arası komut dosyası (XSS) kusurundan yararlanmaya çalışan kötü niyetli bir MSC dosyası ile başlar.
Güvenlik açığı Ekim 2018'de Adobe ve Microsoft'a bildirildi ve her ikisi de araştırılırken Microsoft, davanın hemen düzeltme kriterlerini karşılamadığını belirledi.
Mart 2019 itibariyle, XSS kusuru açılmamış kaldı ve ele alınıp ele alınmadığı belirsiz. BleepingComputer, kusuru yamalayıp yamalayıp yamayacağı doğrulamak için Microsoft ile temasa geçti, ancak bir yorum hemen mevcut değildi.
Saldırganlar tarafından dağıtılan kötü amaçlı MSC dosyası, Stringtable bölümündeki savunmasız APDS kaynağına bir referans içerir, bu nedenle hedef açtığında MMC onu işler ve JS yürütmeyi 'MMC.exe' bağlamında tetikler.
Elastik, XSS kusurunun JavaScript motoru aracılığıyla rasgele .NET kodunu yürütmek için 'DotnettoJScript' tekniği ile birleştirilebileceğini açıklar.
İncelenen örnek, ActiveX uyarılarından kaçmak için 'TransformNode' şaşkınlığı kullanırken, JS kodu 'Pastaloader' adlı bir .NET bileşeni yüklemek için dotnettoJScript kullanan bir VBScript'i yeniden yapılandırır.
Pastaloader, VBScript tarafından belirlenen çevre değişkenlerinden bir kobalt grev yükü alır, yeni bir 'dllhost.exe' örneğini ortaya çıkarır ve işlev açma ve dolaylı sistem çağrılarıyla birleştirilmiş 'DirtyClr' tekniğini kullanarak enjekte eder.
Elastik araştırmacı Samir Bousseaden, X'e Grimresource saldırısının bir gösterisini paylaştı.
Genel olarak, sistem yöneticilerinin aşağıdakileri aradıkları tavsiye edilir:
Elastik güvenlik ayrıca GitHub'daki Grimresource göstergelerinin tam bir listesini yayınladı ve savunucuların şüpheli MSC dosyalarını algılamasına yardımcı olmak için raporda YARA kuralları sağladı.
Microsoft Fotoğraf Güncellemesi Windows 11'e istenen özellikleri getiriyor
Microsoft Windows DirectAccess'ten kullanımdan kaldırır, her zaman VPN'de önerir
Microsoft Haziran 2024 Patch Salı 51 Kusur, 18 RCE
Windows 11 KB5039212 Güncellemesi 37 değişiklik, düzeltmelerle yayınlandı
Microsoft, Windows NTLM Kimlik Doğrulama Protokolü'nü engelledi
Kaynak: Bleeping Computer