New Attack Technique Exploits Microsoft Management Console Files
2024/06/25 TheHackerNews — Microsoft Management Console (MMC) を用いる任意のコード実行権を取得して、セキュリティを回避するために、特別に細工された MSC (management saved console ) ファイルを悪用するという、新しい攻撃手法が発見された。2024年6月6日に VirusTotal マルウェア・スキャン・プラットフォームにアップロードされていた、アーティファクト “sccm-updater.msc” を発見した Elastic Security Labs は、この手法を GrimResource と命名した。
Elastic Security Labs は、「悪意を持って細工されたコンソール・ファイルがインポートされると、MMC ライブラリの脆弱性を悪用する攻撃者により、マルウェアなどのコードが実行される。このテクニックと DotNetToJScript を組み合わせる攻撃者が、任意のコード実行を達成することで、不正アクセスやシステム乗っ取りなどにいたる可能性が生じる」と、The Hacker News と共有した声明の中で述べている。
このような、一般ではあまり使用されないファイル形式を、マルウェアの配布ベクターとして使用することは珍しい試みである。つまり、Microsoft によるセキュリティ対策により、インターネットからダウンロードされた Office ファイルのマクロが、デフォルトで無効化されるといった近年の動向に対する、攻撃者たちの代替的な試みであると見られている。
2024年5月に韓国のサイバーセキュリティ企業 Genians は、北朝鮮に関連するハッキング・グループ Kimsuky が、悪意の MSC ファイルを用いてマルウェアを配信していたケースをレポートで詳述している。
その一方で、今回の GrimResource は、apds.dll ライブラリに存在する XSS (cross-site scripting) の欠陥を悪用して、MMC のコンテキストで任意の JavaScript コードを実行するものだ。この脆弱性は、2018年後半の時点で Microsoft と Adobe に報告されていたものだが、現時点においてもパッチは適用されていない。
この攻撃は、悪意の MSC ファイルの StringTable セクションに、脆弱な APDS リソースへの参照を追加することで実現され、MMC を使用して開かれると、JavaScript コードの実行がトリガーされる。
この手法は ActiveX の警告を回避するだけでなく、DotNetToJScript と組み合わせることで、任意のコード実行を達成できる。調査されたサンプルは、この手法を使って、 PASTALOADER という .NET ローダー・コンポーネントを起動し、最終的に Cobalt Strike を展開するものだ。
Elastic Security Labs の Joe Desimone と Samir Bousseaden は、「Microsoft がオンライン上のドキュメントに対して、Office マクロをデフォルトで無効にした後に、JavaScript/MSI ファイル/LNK オブジェクト/ISO などの感染ベクターが急増している。しかし、これらのテクニックは、防御者たちにより精査/検出される可能性が高い。したがって攻撃者たちは、細工した MSC ファイルを使って、Microsoft Management Console で任意のコードを実行するとう、新しい手法を開発している」と述べている。
Microsoft に対する侵害ベクターが、次々と開発されていますね。 文中で指摘されている Office での制約に加えて、NTLM 認証プロトコルの廃止なども進めている Microsoft ですが、広大な攻撃面積を縮小していくのは大変な作業だと思います。よろしければ、2024/06/14 の「Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.