Οι χάκερ χρησιμοποιούν τώρα εξατομικευμένα αρχεία MSC για να κάνουν κατάχρηση μιας γνωστής, αλλά μη επιδιορθωμένης ευπάθειας των Windows cross-site scripting (XSS), η οποία θα μπορούσε να τους επιτρέψει να εκτελούν εξ αποστάσεως κακόβουλο λογισμικό ή κακόβουλο κώδικα σε συσκευές-στόχους.
Ερευνητές κυβερνοασφάλειας από την ομάδα Elastic εντόπισαν πρόσφατα παράγοντες απειλών που διανέμουν αρχεία Microsoft Saved Console (MSC), τα οποία χρησιμοποιούνται γενικά από την Microsoft Management Console (MMC). Αυτό το εργαλείο χειρίζεται διαφορετικά μέρη του λειτουργικού συστήματος και μπορεί να δημιουργήσει προσαρμοσμένες προβολές εργαλείων που έχουν πρόσβαση συνήθως.
Σε αυτήν την περίπτωση, ωστόσο, τα αρχεία MSC εκμεταλλεύονται ένα παλιό ελάττωμα XSS που βασίζεται στο DOM, επιτρέποντας την εκτέλεση αυθαίρετης JavaScript μέσω προσεκτικά δημιουργημένων διευθύνσεων URL. Ο κώδικας JavaScript, με τη σειρά του, καταλήγει στην ανάπτυξη ενός φάρου Cobalt Strike για αρχική πρόσβαση σε δίκτυα-στόχους. Ωστόσο, οι ερευνητές λένε ότι θα μπορούσε επίσης να χρησιμοποιηθεί για την εκτέλεση και άλλων εντολών.
Νέοι τρόποι απόρριψης κακόβουλου λογισμικού
Αυτή είναι μια νέα τεχνική εκτέλεσης εντολών, είπαν οι ερευνητές, γι' αυτό και την ονόμασαν “GrimResource”.
Ποιοι είναι οι εισβολείς ή πώς συνήθως παραδίδουν αυτά τα αρχεία MSC στα θύματά τους δεν συζητήθηκε. Ωστόσο, είναι ασφαλές να υποθέσουμε ότι το κάνουν μέσω συνηθισμένων καναλιών, όπως phishing, ανταλλαγή άμεσων μηνυμάτων, κοινωνική μηχανική, ψεύτικες σελίδες προορισμού και παρόμοια.
Οι φορείς απειλών ωθήθηκαν ουσιαστικά στην ανακάλυψη νέων τρόπων ανάπτυξης κακόβουλου λογισμικού, αφού η Microsoft απενεργοποίησε τις μακροεντολές σε αρχεία του Office που λήφθηκαν από το Διαδίκτυο.
Οι μακροεντολές ήταν, μακράν, ο πιο δημοφιλής φορέας επίθεσης, καθώς επέτρεπαν στους χάκερ να αναπτύξουν κακόβουλο λογισμικό μέσω εγγράφων του Office με αθώα εμφάνιση (αρχεία Word, Excel και PowerPoint). Όταν αυτή η μέθοδος δεν λειτουργούσε πλέον, στράφηκαν προς αρχεία συντομεύσεων (.LNK), αρχεία εικόνας (ISO) τυλιγμένα σε αρχείο .ZIP ή παρόμοιο αρχείο και πολλά άλλα. Αυτοί οι τύποι αρχείων δεν διέδιδαν σωστά τις σημαίες Mark of the Web (MoTW) σε εξαγόμενα αρχεία, επιτρέποντας στο κακόβουλο λογισμικό να περάσει ορισμένους ελέγχους ασφαλείας.
Τώρα, καθώς οι περισσότερες από αυτές τις μεθόδους δεν είναι πλέον τόσο αποτελεσματικές, οι χάκερ βρήκαν κάτι νέο.
Μέσω BleepingComputer
VIA: TechRadar.com/