Tehdit aktörleri, Microsoft Yönetim Konsolu’nu (MMC) ve güvenlik savunmalarından kaçabilirsiniz.
Elastic Security Labs’ın sahip olduğu kod adı verilen yaklaşım GrimKaynak bir eseri tanımladıktan sonra (“sccm-updater.msc“) 6 Haziran 2024’te VirusTotal kötü amaçlı yazılım tarama platformuna yüklendi.
Şirket, The Hacker News ile paylaşılan bir bildiride, “Kötü amaçlarla oluşturulmuş bir konsol dosyası içe aktarıldığında, MMC kitaplıklarından birindeki bir güvenlik açığı, kötü amaçlı yazılım da dahil olmak üzere rakip kodların çalıştırılmasına yol açabilir” dedi.
“Saldırganlar bu tekniği aşağıdakilerle birleştirebilir: DotNetToJScript yetkisiz erişime, sistemin ele geçirilmesine ve daha fazlasına yol açabilecek keyfi kod yürütme elde etmek için.”
Yaygın olmayan dosya türlerinin kötü amaçlı yazılım dağıtım vektörü olarak kullanılması, saldırganlar tarafından, internetten indirilen Office dosyalarındaki makroların varsayılan olarak devre dışı bırakılması da dahil olmak üzere, Microsoft tarafından son yıllarda dikilen güvenlik korkuluklarını aşmak için alternatif bir girişim olarak görülüyor.
Geçen ay, Güney Koreli siber güvenlik firması Genians, Kuzey Kore bağlantılı Kimsuky hack grubu tarafından kötü amaçlı bir MSC dosyasının kötü amaçlı yazılım dağıtmak için kullanıldığını ayrıntılarıyla anlatmıştı.
Öte yandan GrimResource, MMC bağlamında rastgele JavaScript kodu yürütmek için apds.dll kitaplığında bulunan bir siteler arası komut dosyası çalıştırma (XSS) kusurundan yararlanıyor. XSS kusuru şuydu: başlangıçta rapor edildi 2018’in sonlarında Microsoft ve Adobe’ye gönderildi, ancak bugüne kadar yama yapılmadı.
Bu, kötü amaçlı bir MSC dosyasının StringTable bölümüne, MMC kullanılarak açıldığında JavaScript kodunun yürütülmesini tetikleyen, güvenlik açığı bulunan APDS kaynağına bir referans eklenerek gerçekleştirilir.
Bu teknik yalnızca ActiveX uyarılarını atlamakla kalmaz, aynı zamanda isteğe bağlı kod yürütme elde etmek için DotNetToJScript ile birleştirilebilir. Analiz edilen örnek, sonuçta Cobalt Strike’ın yolunu açan PASTALOADER adlı bir .NET yükleyici bileşenini başlatmak için bu yaklaşımı kullanıyor.
“Microsoft’tan sonra devre dışı bırakılmış Office makroları Güvenlik araştırmacıları Joe Desimone ve Samir Bousseaden, internet kaynaklı belgeler için varsayılan olarak JavaScript, MSI dosyaları, LNK nesneleri ve ISO’lar gibi diğer enfeksiyon vektörlerinin popülaritesinin arttığını söyledi.
“Ancak bu diğer teknikler savunucular tarafından inceleniyor ve tespit edilme olasılıkları yüksek. Saldırganlar, hazırlanmış MSC dosyalarını kullanarak Microsoft Yönetim Konsolu’nda rastgele kod yürütmek için yeni bir teknik geliştirdi.”