HelpSystems, la compañía detrás de la plataforma de software Cobalt Strike, lanzó una actualización de seguridad fuera de banda para abordar una vulnerabilidad de ejecución remota de código que podría permitir que un atacante tome el control de los sistemas objetivo.
Cobalt Strike es un marco comercial de equipo rojo que se utiliza principalmente para la simulación de adversarios, pero las versiones descifradas del software se han utilizado activamente. abusado por operadores de ransomware y grupos de amenazas persistentes avanzadas (APT) centrados en el espionaje.
los herramienta de post-explotación consiste en un servidor de equipo, que funciona como un componente de comando y control (C2), y una baliza, el malware predeterminado que se usa para crear una conexión con el servidor de equipo y soltar las cargas útiles de la siguiente etapa.
El problema, rastreado como CVE-2022-42948afecta a la versión 4.7.1 de Cobalt Strike y se deriva de un parche incompleto lanzado el 20 de septiembre de 2022 para rectificar una secuencia de comandos entre sitios (XSS) vulnerabilidad (CVE-2022-39197) que podría conducir a la ejecución remota de código.
“La vulnerabilidad XSS podría activarse manipulando algunos campos de entrada de la interfaz de usuario del lado del cliente, simulando un registro de implante Cobalt Strike o conectando un implante Cobalt Strike que se ejecuta en un host”, los investigadores de IBM X-Force Rio Sherri y Ruben Boonen. dijo en un escrito.
Sin embargo, se encontró que la ejecución remota de código podría activarse en casos específicos usando el Marco oscilante de Javael conjunto de herramientas de interfaz gráfica de usuario que se utiliza para diseñar Cobalt Strike.
“Ciertos componentes dentro de Java Swing interpretarán automáticamente cualquier texto como contenido HTML si comienza con “, Greg Darwin, gerente de desarrollo de software de HelpSystems, explicado en una publicación “Deshabilitar el análisis automático de etiquetas html en todo el cliente fue suficiente para mitigar este comportamiento”.
Esto significa que un actor malicioso podría explotar este comportamiento por medio de un Etiqueta HTML utilizándolo para cargar una carga útil personalizada alojada en un servidor remoto e inyectarla dentro del campo de nota así como el menú del explorador de archivos gráficos en la interfaz de usuario de Cobalt strike.
“Cabe señalar aquí que esta es una primitiva de explotación muy poderosa”, dijeron los investigadores de IBM, y agregaron que podría usarse para “construir una carga útil multiplataforma con todas las funciones que sería capaz de ejecutar código en la máquina del usuario independientemente de la operación”. sabor o arquitectura del sistema”.
Los hallazgos llegan poco más de una semana después de que el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) advertido de la continua militarización de herramientas legítimas como Cobalt Strike en ataques dirigidos al sector de la salud.