Los actores de amenazas est\u00e1n explotando una novedosa t\u00e9cnica de ataque que aprovecha archivos de consola de administraci\u00f3n guardados (MSC) especialmente dise\u00f1ados para obtener la ejecuci\u00f3n completa del c\u00f3digo mediante Microsoft Management Console (MMC<\/a>) y evadir las defensas de seguridad.<\/p>\n Elastic Security Labs tiene nombre en c\u00f3digo<\/a> el enfoque recurso sombr\u00edo<\/strong> despu\u00e9s de identificar un artefacto (“sccm-actualizador.msc<\/a>“) que se subi\u00f3 a la plataforma de escaneo de malware VirusTotal el 6 de junio de 2024.<\/p>\n “Cuando se importa un archivo de consola creado con fines malintencionados, una vulnerabilidad en una de las bibliotecas MMC puede provocar la ejecuci\u00f3n de c\u00f3digo adversario, incluido malware”, dijo la compa\u00f1\u00eda en un comunicado compartido con The Hacker News.<\/p>\n “Los atacantes pueden combinar esta t\u00e9cnica con DotNetToJScript<\/a> para obtener la ejecuci\u00f3n de c\u00f3digo arbitrario, lo que puede conducir a acceso no autorizado, toma de control del sistema y m\u00e1s”.<\/p>\n El uso de tipos de archivos poco comunes como vector de distribuci\u00f3n de malware es visto como un intento alternativo por parte de los adversarios de eludir las barreras de seguridad erigidas por Microsoft en los \u00faltimos a\u00f1os, incluida la desactivaci\u00f3n de macros de forma predeterminada en los archivos de Office descargados de Internet.<\/p>\n El mes pasado, la firma surcoreana de ciberseguridad Genians detall\u00f3 el uso de un archivo MSC malicioso por parte del grupo de hackers Kimsuky, vinculado a Corea del Norte, para distribuir malware.<\/p>\n GrimResource, por otro lado, explota una falla de secuencias de comandos entre sitios (XSS) presente en la biblioteca apds.dll para ejecutar c\u00f3digo JavaScript arbitrario en el contexto de MMC. La falla XSS fue reportado originalmente<\/a> a Microsoft y Adobe a finales de 2018, aunque hasta la fecha sigue sin parchear.<\/p>\n Esto se logra agregando una referencia al recurso APDS vulnerable en la secci\u00f3n StringTable de un archivo MSC malicioso que, cuando se abre usando MMC, desencadena la ejecuci\u00f3n de c\u00f3digo JavaScript.<\/p>\n La t\u00e9cnica no s\u00f3lo evita las advertencias de ActiveX, sino que tambi\u00e9n puede combinarse con DotNetToJScript para obtener la ejecuci\u00f3n de c\u00f3digo arbitrario. La muestra analizada utiliza este enfoque para lanzar un componente de carga .NET denominado PASTALOADER que, en \u00faltima instancia, allana el camino para Cobalt Strike.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Nueva-tecnica-de-ataque-explota-archivos-de-Microsoft-Management-Console.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n