Tehdit aktörleri, Microsoft Yönetim Konsolu’nu (MMC) kullanarak tam kod yürütme elde etmek ve güvenlik savunmalarından kaçmak için özel hazırlanmış yönetim tarafından kaydedilen konsol (MSC) dosyalarından yararlanan yeni bir saldırı tekniğinden yararlanıyor.
Elastic Security Labs bu yaklaşımı kod olarak adlandırdı GrimKaynak 6 Haziran 2024’te VirusTotal kötü amaçlı yazılım tarama platformuna yüklenen bir yapıyı (“sccm-updater.msc”) tanımladıktan sonra.
Şirket, The Hacker News ile paylaşılan bir bildiride, “Kötü amaçlarla oluşturulmuş bir konsol dosyası içe aktarıldığında, MMC kitaplıklarından birindeki bir güvenlik açığı, kötü amaçlı yazılım da dahil olmak üzere rakip kodların çalıştırılmasına yol açabilir” dedi.
“Saldırganlar bu tekniği DotNetToJScript ile birleştirerek keyfi kod yürütme elde edebilir, bu da yetkisiz erişime, sistemin ele geçirilmesine ve daha fazlasına yol açabilir.”
Yaygın olmayan dosya türlerinin kötü amaçlı yazılım dağıtım vektörü olarak kullanılması, saldırganlar tarafından, internetten indirilen Office dosyalarındaki makroların varsayılan olarak devre dışı bırakılması da dahil olmak üzere, Microsoft tarafından son yıllarda dikilen güvenlik korkuluklarını aşmak için alternatif bir girişim olarak görülüyor.
Geçen ay, Güney Koreli siber güvenlik firması Genians, Kuzey Kore bağlantılı Kimsuky hack grubu tarafından kötü amaçlı bir MSC dosyasının kötü amaçlı yazılım dağıtmak için kullanıldığını ayrıntılarıyla anlatmıştı.
Öte yandan GrimResource, MMC bağlamında rastgele JavaScript kodu yürütmek için apds.dll kitaplığında bulunan bir siteler arası komut dosyası çalıştırma (XSS) kusurundan yararlanıyor. XSS hatası ilk olarak 2018’in sonlarında Microsoft ve Adobe’ye bildirildi, ancak bugüne kadar yama yapılmadı.
Bu, kötü amaçlı bir MSC dosyasının StringTable bölümüne, MMC kullanılarak açıldığında JavaScript kodunun yürütülmesini tetikleyen, güvenlik açığı bulunan APDS kaynağına bir referans eklenerek gerçekleştirilir.
Bu teknik yalnızca ActiveX uyarılarını atlamakla kalmaz, aynı zamanda isteğe bağlı kod yürütme elde etmek için DotNetToJScript ile birleştirilebilir. Analiz edilen örnek, sonuçta Cobalt Strike’ın yolunu açan PASTALOADER adlı bir .NET yükleyici bileşenini başlatmak için bu yaklaşımı kullanıyor.
Güvenlik araştırmacıları Joe Desimone ve Samir Bousseaden, “Microsoft, internet kaynaklı belgeler için Office makrolarını varsayılan olarak devre dışı bıraktıktan sonra, JavaScript, MSI dosyaları, LNK nesneleri ve ISO’lar gibi diğer enfeksiyon vektörlerinin popülaritesi arttı” dedi.
“Ancak bu diğer teknikler savunucular tarafından inceleniyor ve tespit edilme olasılıkları yüksek. Saldırganlar, hazırlanmış MSC dosyalarını kullanarak Microsoft Yönetim Konsolu’nda rastgele kod yürütmek için yeni bir teknik geliştirdi.”