Grimresource : une nouvelle technique pour exécution du code non autorisé

Par:
francoistonic

jeu, 27/06/2024 - 07:54

Elastic Security Labs annonce avoir découvert une nouvelle méthode pour exécuter du code non autorisé : Grimresource. Elle peut permettre d'exécuter du code dans la console Microsoft (mmc.exe) via un fichier MSC. 

Quelques détails donnés par l'équipe d'Elastic :

  • Lorsqu'un fichier de console malveillant est importé, une vulnérabilité dans l'une des bibliothèques MMC peut conduire à l'exécution de code malveillant, y compris des malwares. Elastic Security Labs a déjà identifié une occurrence de cette nouvelle technique.
  • Les attaquants peuvent combiner cette technique avec DotNetToJScript pour obtenir une exécution de code arbitraire, ce qui peut entraîner un accès non autorisé, une prise de contrôle du système et plus encore.

Aujourd'hui, de multiples vecteurs sont utilisés par les hackers pour exécuter du code même si Microsoft a désactivé les macros Office dans les documents provenant du Web. Une des clés de GrimResource est de s'appuyer sur le XSS présent dans la librairie apds.dll.

Pour tous les détails techniques : https://www.elastic.co/security-labs/grimresource