Kỹ thuật này được Elastic Security Labs gọi là GrimResource sau khi phát hiện một thành phần phần mềm (“sccm-updater.msc”) đã được tải lên nền tảng quét phần mềm độc hại VirusTotal vào ngày 6 tháng 6 năm 2024.
Công ty cho biết: “Khi một tệp bảng điều khiển độc hại được nhập vào, lỗ hổng trong một trong các thư viện MMC có thể dẫn đến việc thực thi mã, bao gồm cả mã độc”.
“Kẻ tấn công có thể kết hợp kỹ thuật này với DotNetToJScript để thực thi mã tùy ý, có thể dẫn đến truy cập trái phép, chiếm quyền hệ thống, v.v.”
Việc sử dụng các loại tệp không phổ biến để phát tán phần mềm độc hại được kẻ tấn công coi là một phương pháp thay thế nhằm vượt qua các biện pháp bảo mật do Microsoft thiết lập trong những năm gần đây, bao gồm cả việc vô hiệu hóa macro theo mặc định trong các tệp Office được tải xuống từ internet.
Tháng trước, công ty bảo mật Genians của Hàn Quốc đã cảnh báo về việc nhóm hacker Kimsuky sử dụng tập tin MSC độc hại để phát tán mã độc.
Mặt khác, GrimResource khai thác lỗ hổng Cross-site scripting (XSS) có trong thư viện apds.dll để thực thi mã JavaScript tùy ý trong ngữ cảnh MMC. Lỗ hổng XSS ban đầu được báo cáo cho Microsoft và Adobe vào cuối năm 2018, tuy nhiên, cho đến nay nó vẫn chưa được giải quyết.
Điều này được thực hiện bằng cách thêm một tham chiếu đến thư viện APDS dễ bị tấn công trong StringTable của tệp MSC độc hại. Tệp này khi được mở bằng MMC sẽ kích hoạt việc thực thi mã JavaScript.
Kỹ thuật này không chỉ bỏ qua cảnh báo ActiveX mà còn có thể kết hợp với DotNetToJScript để thực thi mã tùy ý. Mẫu được phân tích sử dụng phương pháp này để khởi chạy thành phần loader.NET có tên là PASTALOADER, cuối cùng dẫn đến triển khai Cobalt Strike.
Các nhà nghiên cứu bảo mật Joe Desimone và Samir Bousseaden cho biết: “Sau khi Microsoft vô hiệu hóa macro Office theo mặc định đối với các tài liệu được tải xuống từ internet, các vectơ lây nhiễm khác như JavaScript, tệp MSI, đối tượng LNK và tệp ISO đã trở nên phổ biến hơn.
“Tuy nhiên, những kỹ thuật khác này được các hệ thống phòng thủ xem xét kỹ lưỡng và có khả năng phát hiện cao. Những kẻ tấn công đã chuyển sang một kỹ thuật mới để thực thi mã tùy ý trong MMC bằng cách sử dụng các tệp MSC độc hại.”
Link nguồn: https://cafef.vn/phat-hien-ky-thuat-tan-cong-moi-khai-thac-cac-tep-msc-cua-microsoft-188240627124601929.chn