HelpSystems, das Unternehmen hinter der Softwareplattform Cobalt Strike, hat ein Out-of-Band-Sicherheitsupdate veröffentlicht, um eine Schwachstelle in der Remotecodeausführung zu beheben, die es einem Angreifer ermöglichen könnte, die Kontrolle über ein bestimmtes System zu übernehmen.
Cobalt Strike ist ein kommerzielles Red-Team-Framework, das hauptsächlich für die Simulation von Angreifern verwendet wird. Geknackte Versionen der Software wurden jedoch von Ransomware-Betreibern und auf Spionage ausgerichteten APT-Gruppen (Advanced Persistent Threats) aktiv missbraucht.
Das Post-Exploitation-Tool besteht aus einem Team-Server, der als Command-and-Control (C2)-Komponente fungiert, und einem Beacon, der Standard-Malware, die eine Verbindung zum Team-Server herstellt und die Nutzdaten der nächsten Stufe abwirft.
Die Schwachstelle mit der Bezeichnung CVE-2022-42948 betrifft Cobalt Strike Version 4.7.1 und geht auf einen unvollständigen Patch zurück, der am 20. September 2022 veröffentlicht wurde, um eine Cross-Site-Scripting (XSS)-Schwachstelle (CVE-2022-39197) zu beheben, die zur Remotecodeausführung führen kann.
„Die XSS-Schwachstelle könnte durch die Manipulation einiger clientseitiger UI-Eingabefelder, durch die Simulation eines Cobalt Strike-Implantat-Check-ins oder durch das Hooking eines Cobalt Strike-Implantats, das auf einem Host läuft, ausgelöst werden“, so die IBM X-Force-Forscher Rio Sherri und Ruben Boonen in einem Bericht.
Es wurde jedoch festgestellt, dass die Remotecodeausführung in bestimmten Fällen mit dem Java Swing-Framework ausgelöst werden kann, dem Toolkit für die grafische Benutzeroberfläche, das für die Entwicklung von Cobalt Strike verwendet wird.
„Bestimmte Komponenten in Java Swing interpretieren jeden Text automatisch als HTML-Inhalt, wenn er mit beginnt“, erklärte Greg Darwin, Software Development Manager bei HelpSystems, in einem Beitrag. „Die Deaktivierung des automatischen Parsens von HTML-Tags auf dem gesamten Client reichte aus, um dieses Verhalten abzuschwächen.
Das bedeutet, dass ein böswilliger Akteur dieses Verhalten mit Hilfe eines HTML -Tags ausnutzen könnte, um eine benutzerdefinierte Nutzlast zu laden, die auf einem entfernten Server gehostet wird, und sie in das Notizfeld sowie in das grafische Dateiexplorer-Menü in der Cobalt Strike UI einzuschleusen.
„Es sollte hier angemerkt werden, dass dies ein sehr mächtiges Exploit-Primitiv ist“, sagten die IBM-Forscher und fügten hinzu, dass es verwendet werden könnte, um „eine voll funktionsfähige, plattformübergreifende Nutzlast zu konstruieren, die in der Lage wäre, Code auf dem Rechner des Benutzers auszuführen, unabhängig von der Betriebssystemvariante oder -architektur“.
Die Ergebnisse kommen etwas mehr als eine Woche, nachdem das U.S. Department of Health and Human Services (HHS) davor gewarnt hat, dass legitime Tools wie Cobalt Strike weiterhin für Angriffe auf das Gesundheitswesen eingesetzt werden.