Компания HelpSystems, разрабатывающая небезызвестный red team инструмент Cobalt Strike, выпустила экстренное обновление, устраняющее RCE-уязвимость. Обнаруженный баг приводил к удаленному выполнению кода и позволял злоумышленникам установить полный контроль над целевыми системами.
Cobalt Strike — это легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию. Он наверняка хорошо знаком большинству читателей, так как, к сожалению, Cobalt Strike давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. Хотя он недоступен для рядовых пользователей и полная версия оценивается в несколько тысяч долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
Теперь разработчики предупреждают об обнаружении уязвимости, получившей идентификатор CVE-2022-42948 и затрагивающей Cobalt Strike 4.7.1. Проблема связана с неполным патчем, выпущенным 20 сентября 2022 года, который предназначался для устранения XSS-уязвимости CVE-2022-39197.
Специалисты IBM X-Force, обнаружившие свежий баг, рассказывают, что срабатывание XSS-уязвимости можно спровоцировать путем манипулирования некоторыми полями ввода в пользовательском интерфейсе на стороне клиента, имитацией регистрации имплантата Cobalt Strike, а также хукингом имплантата Cobalt Strike, работающим на хосте.
Во время изучения проблемы было обнаружено, что в определенных случаях можно добиться и удаленного выполнения произвольного кода. Это осуществляет при помощи фреймворка Java Swing, который используется для разработки Cobalt Strike.
«Некоторые компоненты Java Swing будут автоматически интерпретировать любой текст как HTML-контент, если он начинается с <html>», — объясняют специалисты HelpSystems. — Отключения автоматического анализа тегов html во всем клиенте оказалось достаточно, чтобы избавиться от такого поведения».
Это означает, что злоумышленники могли использовать HTML-тег <object>, применяя его для загрузки кастомной полезной нагрузки, размещенной на удаленном сервере, и внедрить ее в поле note, а также в графическое меню проводника файлов в Cobalt Strike.
Демонстрацию такой атаки можно увидеть в ролике ниже.
Эксперты IBM X-Force отмечают, что эта уязвимость является отличным фундаментом для атак, и с ее помощью «можно добиться создания полнофункционального кроссплатформенного пейлоада, который сможет выполнять код на компьютере пользователя независимо от операционной системы или архитектуры».
