Elasticsearchは2024年このほど、「GrimResource - Microsoft Management Console for initial access and evasion — Elastic Security Labs」において、Windowsの「MSCファイル」を利用する新しい攻撃手法「GrimResource」を発見したと伝えた。
-
GrimResource - Microsoft Management Console for initial access and evasion — Elastic Security Labs
新しい攻撃手法「GrimResource」の特徴
GrimResourceはapds.dllライブラリに存在する古いクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性を悪用する。攻撃者はMSCファイルの適切なStringTableセクションに脆弱なAPDSリソースへの参照を追加することで、Microsoft管理コンソール(MMC: Microsoft Management Console)のコンテキスト内で任意のJavaScriptを実行することができる。
-
apds.dllを悪用するMSCファイルの例 引用:Elasticsearch
Elasticsearchは悪用されたMSCファイルをVirusTotalにて検索した結果、検出できるセキュリティソリューションはゼロだったと説明している。このMSCファイルはJavaScriptを介して悪意のあるVBスクリプトを実行し、最終的に「Cobalt Strike」を展開するとされる。
対策
BleepingComputerによると、apds.dllライブラリーに存在する古いクロスサイトスクリプティングの脆弱性は、2018年10月にMicrosoftに報告されていたという(参考「New attack uses MSC files and Windows XSS flaw to breach networks」)。しかしながら、速やかな修正は必要ないと判断されて即時の対策はされず、その後修正されたかも不明としている。
そのため、この脆弱性が放置されていたのか、デグレードにより再発したのかはわかっていない。いずれにせよ、Microsoftには速やかな対策が求められている。
ElasticsearchはGrimResourceを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
