Neue Angriffstechnik nutzt MSC-Dateien zur Codeausführung in der Microsoft Management Console
Angreifer haben eine neue Technik entwickelt, um mithilfe von manipulierten MSC-Dateien (Management Saved Console) beliebigen Code in der Microsoft Management Console (MMC) auszuführen. Aktuelle Sicherheitsmaßnahmen können so umgangen werden.
Elastic Security Labs hat diesen neuen Ansatz GrimResource genannt, nachdem Anfang Juni 2024 ein Artefakt namens „sccm-updater.msc“ auf die Malware-Scan-Plattform VirusTotal hochgeladen wurde. „Wenn eine bösartige Konsolendatei importiert wird, kann eine Schwachstelle in einer der MMC-Bibliotheken dazu führen, dass schädlicher Code, einschließlich Malware, ausgeführt wird“, so das Unternehmen. „Angreifer können diese Technik mit DotNetToJScript kombinieren, um beliebigen Code auszuführen, was zu unbefugtem Zugriff, Systemübernahme und anderen Schäden führen kann.“
Die Verwendung ungewöhnlicher Dateitypen zur Verbreitung von Malware wird als alternativer Versuch von Angreifern gesehen, die in den letzten Jahren von Microsoft eingeführten Sicherheitsmaßnahmen zu umgehen, wie zum Beispiel die standardmäßige Deaktivierung von Makros in Office-Dateien, die aus dem Internet heruntergeladen wurden.
Hackergruppe Kimsuky nutzt bösartige MSC-Dateien
Kürzlich berichtete das südkoreanische Cybersicherheitsunternehmen Genians, dass die mit Nordkorea verbundene Hackergruppe Kimsuky eine bösartige MSC-Datei zur Verbreitung von Malware genutzt hat.
GrimResource hingegen nutzt eine Cross-Site-Scripting-Schwachstelle (XSS) in der apds.dll-Bibliothek, um beliebigen JavaScript-Code im Kontext von MMC auszuführen. Diese XSS-Schwachstelle wurde ursprünglich Ende 2018 an Microsoft und Adobe gemeldet, aber bis heute nicht behoben.
Die Ausnutzung läuft über einen Verweis auf die anfällige APDS-Ressource, der in den StringTable-Abschnitt einer bösartigen MSC-Datei eingefügt wird. Wenn diese Datei mit MMC geöffnet wird, wird die Ausführung von JavaScript-Code ausgelöst. Diese Technik umgeht nicht nur ActiveX-Warnungen, sondern kann auch mit DotNetToJScript kombiniert werden, um die Ausführung von beliebigem Code zu ermöglichen. Das analysierte Beispiel nutzt diesen Ansatz, um eine .NET-Loader-Komponente namens PASTALOADER zu starten, die schließlich den Weg für Cobalt Strike ebnet.
„Nachdem Microsoft Office-Makros in aus dem Internet stammenden Dokumenten standardmäßig deaktiviert hat, sind andere Infektionsmethoden wie JavaScript, MSI-Dateien, LNK-Objekte und ISOs immer beliebter geworden,“ erklären die Sicherheitsexperten Joe Desimone und Samir Bousseaden. „Diese anderen Techniken werden jedoch von Verteidigern genau überwacht und haben eine hohe Entdeckungswahrscheinlichkeit.“
Maßnahmen gegen die Bedrohung
Microsoft hat sich zu den Ergebnissen noch nicht geäußert, aber bestätigt, dass Windows MSC-Dateien als „potenziell gefährlichen Dateityp“ erkennt. Microsoft Defender habe Schutzmechanismen, um diese Bedrohung zu erkennen. Smart App Control blockiert bösartige Dateien dieses Typs, wenn sie aus dem Internet stammen. Wie immer wird Benutzern empfohlen, keine Dateien von unbekannten Quellen oder Absendern herunterzuladen oder zu öffnen.