{"id":296823,"date":"2024-07-01T13:29:10","date_gmt":"2024-07-01T11:29:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296823"},"modified":"2024-07-01T13:50:03","modified_gmt":"2024-07-01T11:50:03","slug":"grimresource-windows-xss-schwachstelle-mit-msc-dateien-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/01\/grimresource-windows-xss-schwachstelle-mit-msc-dateien-ausgenutzt\/","title":{"rendered":"GrimResource: Windows XSS-Schwachstelle mit .msc-Dateien ausgenutzt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Es gibt eine Schwachstelle in Windows, die es Angreifern erm\u00f6glicht, ein System zu infizieren und ein Netzwerk zu durchsuchen. Sicherheitsforscher von Elastic haben diese neue Infektionstechnik Mitte Juni 2024 aufgedeckt und mit dem Begriff GrimResource belegt. Ich hatte das zeitnah mitbekommen, komme (Urlaubs-bedingt) erst jetzt dazu, diesen Sachverhalt hier im Blog aufzubereiten.<\/p>\n

<\/p>\n

Office-Makros & Co. als Angriffsvektor gestopft<\/h2>\n

\"\"Microsoft unternimmt ja einige Anstrengungen, um Schwachstellen, die f\u00fcr Angriffe genutzt werden k\u00f6nnen, zu stopfen. Historisch bedingt gab es viele Einfallstore f\u00fcr Angreifer. Microsoft Office-Makros sind aus Sicherheitsgr\u00fcnden f\u00fcr aus dem Internet stammende Dokumente standardm\u00e4\u00dfig deaktiviert. So wird ein Einfallsvektor wirkungslos.<\/p>\n

Cyber-Angreifer setzen inzwischen auf andere Infektionsvektoren wie JavaScript, MSI-Dateien, LNK-Objekte und ISOs, so dass dies stark an Popularit\u00e4t gewonnen haben. Hier besteht aber die Situation, dass Administratoren bereits Riegel vorgeschoben haben oder diese Angriffstechniken von Sicherheitsl\u00f6sungen genau gepr\u00fcft werden und eine hohe Entdeckungswahrscheinlichkeit haben. Daher h\u00e4tte eine bisher weitgehend unbekannte Angriffstechnik ein \"hohes Potential\".<\/p>\n

GrimResource und die Windows .msc XSS-Schwachstelle<\/h2>\n

Genau eine solche Angriffstechnik scheinen sich nordkoreanische Angreifer zu bedienen. Sicherheitsforscher von Elastic Security Labs sind auf diese neue Infektionstechnik, die sie als GrimResource bezeichnen, gesto\u00dfen. Der Angriff macht sich .msc-Dateien zunutze und erm\u00f6glicht Angreifern die vollst\u00e4ndige Codeausf\u00fchrung im Kontext von mmc.exe<\/em>. Es reicht einen Benutzer zum \u00d6ffnen einer speziell gestalteten .msc<\/em>-Datei per Doppelklick zu verleiten. Ein Beispiel, das der Thread Actor GrimResource ausnutzt hat, wurde erstmals am 6. Juni 2024 auf VirusTotal hochgeladen.<\/p>\n

Ich hatte zeitnah nachfolgenden Tweet<\/a> zu diesem Thema gesehen (und es gab diesen Kommentar<\/a>), aber keine M\u00f6glichkeit, hier im Blog zu reagieren. Die Details wurden von Elastic Security Labs im Blog-Beitrag GrimResource –\u00a0 Microsoft Management Console for initial access and evasion<\/a> ver\u00f6ffentlicht.<\/p>\n

<\/a><\/p>\n

XML-Datei als Tr\u00e4ger<\/h3>\n

Parallel dazu gibt es auf Github<\/a> eine Datei mit einem Proof of Concept dieses Angriffsvektors. Aus der Datei wird bereits ersichtlich, wo das Problem liegen k\u00f6nnte, denn .msc-Dateien sind letztendlich XML-Dokument. Hier ein Auszug aus der PoC-Datei:<\/p>\n

<?xml version=\"1.0\"?><MMC_ConsoleFile ConsoleVersion=\"3.0\" ProgramMode=\"UserSDI\">\r\n<ConsoleFileID>a7bf8102-12e1-4226-aa6a-2ba71f6249d0<\/ConsoleFileID>\r\n<FrameState ShowStatusBar=\"false\">\r\n<WindowPlacement ShowCommand=\"SW_HIDE\">\r\n<Point Name=\"MinPosition\" X=\"-1\" Y=\"-1\"\/>\r\n<Point Name=\"MaxPosition\" X=\"-1\" Y=\"-1\"\/>\r\n<Rectangle Name=\"NormalPosition\" Top=\"0\" Bottom=\"0\" Left=\"0\" Right=\"0\"\/>\r\n<\/WindowPlacement>\r\n<\/FrameState>\r\n<Views><\/pre>\n
Speichert man den Quellcode aus obiger GitHub-Seite in einer Textdatei und benennt diese in .msc um, hat man eine Datei, die in mmc.exe<\/em> geladen werden kann. Und mmc.exe setzt dann alle Anweisungen aus der .msc-Datei um. Klickt man auf obigen Screenshot, l\u00e4sst sich auf X ein Video ansehen, das zeigt, dass das \u00d6ffnen der .msc-Datei per Doppelklick ein Dialogfeld und den Windows-Rechner \u00f6ffnet. Ein Blick in die .XML-Struktur offenbar, dass diese auch einen BinaryStorage mit Bin\u00e4rdaten aufweist, die durch die .msc-Datei verwendet werden k\u00f6nnen.<\/p>\n
Details zum Angriffsvektor<\/h3>\n
Der Elastic-Artikel<\/a> beschreibt nun den Angriffsvektor genauer. Der GrimResource-Angriffsvektor nutzt eine alte XSS-Schwachstelle in der apds.dll<\/em>-Bibliothek aus. Durch Hinzuf\u00fcgen eines Verweises auf die verwundbare APDS-Ressource (Authentication Protocol Domain Support) in den entsprechenden StringTable-Abschnitt einer manipulierten MSC-Datei k\u00f6nnen Angreifer beliebiges Javascript im Kontext von mmc.exe<\/em> ausf\u00fchren. Angreifer k\u00f6nnen diese Technik mit DotNetToJScript kombinieren, um beliebige Codeausf\u00fchrung zu erlangen.<\/p>\n
F\u00fcr interessierte Leser beschreibt der Elastic-Artikel<\/a> detailliert die Ausnutzung durch GrimResource. Die Kollegen von Bleeping Computer, die das Thema zeitnah behandelten, zitieren in diesem Artikel<\/a>, das die Schwachstelle in Windows bisher ungepatcht ist.<\/p>\n
MMC und das UAC-Bypassing<\/h3>\n
Was mir beim Querlesen der obigen Fundstellen aufgefallen ist: Dort wird das besondere Risiko von .msc-Dateien nicht angesprochen. Solche .msc-Dateien und mmc.exe <\/em>lassen sich f\u00fcr UAC-Bypassing-Angriffe missbrauchen, so dass die Benutzerkontensteuerung umgangen und administrative Rechte auf Standardkonten erreicht werden k\u00f6nnen. Ich hatte 2017 beispielsweise im Blog-Beitrag Erebus Ransomware und die ausgetrickste UAC<\/a> auf diesen Sachverhalt hingewiesen.<\/p>\n
Wie kann man sich sch\u00fctzen?<\/h2>\n
Sch\u00fctzen k\u00f6nnen Administratoren sich for GrimResource, indem sie pr\u00fcfen, ob die Ausf\u00fchrung von .msc-Dateien aus Internetquellen (Mark of the Web-Flag, MotW) gesetzt ist, unterbunden werden kann. Die Elastic Labs haben auf dieser GitHub-Seite<\/a> einige Informationen (Indicator of Compromise, IoCs) zusammen getragen (hier<\/a> gibt es die Elastic Protection Rules-Sammlung, siehe auch diesen Tweet<\/a>) und die Kollegen von Bleeping Computer geben hier<\/a> weitere Hinweise.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nBSI warnt vor Windows-Schwachstelle (MMC\/Task-Planer)<\/a>
\nErebus Ransomware und die ausgetrickste UAC<\/a>
\nWindows 10\/11 FoDHelper UAC-Bypassing-Test und Fremdvirenscanner<\/a>
\nWindows10: Neue UAC-Bypassing-Methode (fodhelper.exe)<\/a>
\nWindows UAC \u00fcber SilentCleanup ausgehebelt<\/a>
\nWindows 10: Schwachstelle .SettingContent-ms<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Es gibt eine Schwachstelle in Windows, die es Angreifern erm\u00f6glicht, ein System zu infizieren und ein Netzwerk zu durchsuchen. Sicherheitsforscher von Elastic haben diese neue Infektionstechnik Mitte Juni 2024 aufgedeckt und mit dem Begriff GrimResource belegt. Ich hatte das zeitnah … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-296823","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296823"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296823\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}