查看原文
其他

新的攻击技术利用 Microsoft 管理控制台文件

E安全
2024-12-09


威胁行为者正在利用一种新颖的攻击技术,该技术利用特制的管理保存控制台 (MSC) 文件来使用 Microsoft 管理控制台 ( MMC ) 获得完整的代码执行并逃避安全防御。



Elastic 安全实验室在识别出2024 年 6 月 6 日上传到 VirusTotal 恶意软件扫描平台的工件(“ sccm-updater.msc ”)后,将该方法命名为GrimResource 。

该公司在与 The Hacker News 分享的声明中表示:“当导入恶意制作的控制台文件时,MMC 库之一中的漏洞可能导致运行对手代码,包括恶意软件。”

“攻击者可以将此技术与DotNetToJScript结合起来以获得任意代码执行,从而导致未经授权的访问、系统接管等。”

使用不常见的文件类型作为恶意软件传播媒介被视为攻击者绕过微软近年来建立的安全 护栏的另一种尝试,包括默认禁用从互联网下载的 Office 文件中的宏。

上个月,韩国网络安全公司 Genians详细介绍了与朝鲜有关的 Kimsuky 黑客组织使用恶意 MSC 文件传播恶意软件的情况。

另一方面,GrimResource 利用 apds.dll 库中存在的跨站点脚本 (XSS) 漏洞在 MMC 上下文中执行任意 JavaScript 代码。该 XSS 漏洞最初于 2018 年底报告给 Microsoft 和 Adobe,但至今仍未得到修补。

这是通过在恶意 MSC 文件的 StringTable 部分中添加对易受攻击的 APDS 资源的引用来实现的,当使用 MMC 打开时,会触发 JavaScript 代码的执行。


精彩推荐

Lockbit 勒索软件组织宣布已攻破美国联邦储备银行并窃取了 33 TB 的敏感数据

2024.06.26

移动平台新威胁:多国Android设备遭攻击

2024.06.25

黑客利用合法网站传播 BadSpace Windows 后门

2024.06.24


注:本文由E安全编译报道,转载请联系授权并注明来源。

继续滑动看下一个
E安全
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存