HelpSystems, la société à l’origine de la plate-forme logicielle Cobalt Strike, a publié un correctif de sécurité hors bande pour résoudre une vulnérabilité d’exécution de code à distance qui pourrait permettre à un attaquant de prendre le contrôle des systèmes ciblés.
Cobalt Strike est un cadre commercial d’équipe rouge utilisé principalement pour la simulation d’adversaires, mais les versions piratées du logiciel ont été activement abusées par les opérateurs de ransomware et les groupes de menace persistante avancée (APT) axés sur l’espionnage.
L’outil de post-exploitation se compose d’un serveur d’équipe, qui agit comme un composant de commande et de contrôle (C2), et d’une balise, un logiciel malveillant standard utilisé pour établir une connexion au serveur d’équipe et supprimer les charges utiles à l’étape suivante.
Le problème est suivi comme CVE-2022-42948affecte Cobalt Strike version 4.7.1 et découle d’une mise à jour incomplète publiée le 20 septembre 2022 pour corriger une vulnérabilité de script intersite (XSS) (CVE-2022-39197) qui pourrait permettre l’exécution de code à distance.
“La vulnérabilité XSS pourrait être déclenchée en manipulant certains champs de saisie dans l’interface utilisateur côté client, en simulant l’enregistrement d’un implant Cobalt Strike ou en se connectant à un implant Cobalt Strike exécuté sur un hôte”, a déclaré un chercheur d’IBM X-Force. Rio Sherri et Ruben Boonen dans une recette.
Cependant, il a été constaté que l’exécution de code à distance pouvait être déclenchée dans des cas spécifiques en utilisant le framework Java Swing, l’interface utilisateur graphique utilisée pour concevoir Cobalt Strike.
“Certains composants de Java Swing interpréteront automatiquement tout le texte comme du contenu HTML s’il commence par “, a expliqué Greg Darwin, responsable du développement logiciel chez HelpSystems, dans un article. “La désactivation de l’analyse automatique des balises HTML sur l’ensemble du client a suffi à atténuer ce comportement.”
Cela signifie qu’un acteur malveillant peut exploiter ce comportement à l’aide de code HTML
“Il convient de noter ici qu’il s’agit d’une primitive d’exploitation très puissante”, ont déclaré les chercheurs d’IBM, ajoutant qu’elle pourrait être utilisée pour “construire une charge utile multiplateforme à part entière qui serait capable d’exécuter du code sur la machine de l’utilisateur indépendamment de opérations, saveur ou architecture du système. »
Les conclusions surviennent un peu plus d’une semaine après que le ministère américain de la Santé (HHS) a mis en garde contre la poursuite de la militarisation d’outils légitimes tels que Cobalt Strike lors d’attaques visant le secteur de la santé.
