Cyberattaque : les pirates exploitent des fichiers MSC et une faille XSS non corrigée dans Windows !
Une nouvelle technique d'attaque baptisée "GrimResource" cible actuellement les utilisateurs de Windows ! Elle s'appuie sur l'utilisation de fichiers MSC et elle exploite une faille de sécurité XSS dans Windows non corrigée à ce jour. Faisons le point sur cette menace.
Au fil des années, Microsoft renforce la sécurité de son système d'exploitation et de ses applications en désactivant par défaut certaines fonctionnalités. Nous pouvons notamment citer la désactivation des macros dans Microsoft Office, ainsi que la suppression à venir de VBScript dans Windows. À chaque fois, les cybercriminels font preuve d'ingéniosité pour trouver de nouvelles techniques d'attaques, et sans cesse se renouveler.
Dernièrement, l'entreprise sud coréenne Genian a découvert que les fichiers MSC pouvaient être utilisés à des fins malveillantes. De nouvelles recherches menées par l'équipe d'Elastic ont permis de découvrir une nouvelle technique basée sur l'utilisation de ces fameux fichiers MSC : la technique "GrimResource". "Les chercheurs d'Elastic ont découvert une nouvelle technique d'infection exploitant également les fichiers MSC, que nous appelons GrimResource.", peut-on lire.
En tant qu'administrateur système Windows, vous connaissez surement les fichiers MSC correspondant à "Microsoft Management Console", soit la console MMC. Les fichiers MSC sont des raccourcis vers des consoles d'administration du système, comme "gpedit.msc" pour éditer la stratégie de groupe locale. L'utilisateur peut créer ses propres raccourcis, et les pirates aussi.
Évoquons l'utilisation malveillante des fichiers MSC sur Windows. Tout d'abord, le rapport d'Elastic précise : "Il permet aux attaquants d'obtenir une exécution complète du code dans le contexte de mmc.exe après qu'un utilisateur ait cliqué sur un fichier MSC spécialement conçu. Un échantillon exploitant GrimResource a été téléchargé pour la première fois sur VirusTotal le 6 juin." - L'échantillon en question s'appelait "sccm-updater.msc".
Une faille de sécurité XSS non corrigée dans la dernière version de Windows 11
L'attaque GrimResource repose sur l'utilisation d'un fichier MSC malveillant qui sert à exploiter une faille de sécurité XSS basée sur le modèle DOM de la bibliothèque nommée "apds.dll". Il s'agit d'une vulnérabilité connue, qui a déjà été reportée à Adobe et Microsoft en 2018, mais qui n'a pas été corrigée. Ainsi, dans Windows 11, avec les dernières mises à jour de sécurité, la faille de sécurité peut être exploitée. Ceci est également vrai pour les autres versions de Windows.
"En ajoutant une référence à la ressource APDS vulnérable dans la section StringTable appropriée d'un fichier MSC élaboré, les attaquants peuvent exécuter du JavaScript arbitraire dans le contexte de mmc.exe.", peut-on lire. Grâce à cette technique et à l'exploitation de cette faille de sécurité, les cybercriminels sont parvenus à récupérer et à exécuter un payload Cobalt Strike, afin d'infecter la machine et de la compromettre.
Une vidéo de démonstration a été publiée sur X (Twitter) :
Elastic Security Labs has discovered a new method for initial access and evasion in the wild, termed #GrimResource, which involves arbitrary execution in mmc.exe through a crafted MSC file.https://t.co/q4u4gTPE6Ohttps://t.co/usWJvhygIC pic.twitter.com/hQF4gKktX2
— Samir (@SBousseaden) June 21, 2024
Nous vous invitons à lire le rapport d'Elastic pour obtenir des détails supplémentaires, et notamment des informations sur la façon de détecter cette attaque. Par exemple, l'exécution du processus "mmc.exe" avec l'appel d'un fichier "msc" et de certains arguments doit être considéré comme suspect. Elastic a aussi partagé la règle YARA correspondante.
