在流行的钴攻击黑客软件中发现的关键Rce漏洞

Cobalt Strike软件平台背后的公司HelpSystems发布了带外安全更新，以解决远程代码执行漏洞，使攻击者能够控制目标系统。

钴罢工是一个商业的红色团队框架，主要用于对手模拟，但软件的破解版本被勒索软件运营商和以间谍为重点的高级持续威胁( APT )团体所滥用。

利用工具包括一个团队服务器(作为命令和控制( C2 )组件)和一个信标，默认的恶意软件用于创建与团队服务器的连接并丢弃下一阶段的负载。

该问题被跟踪为CVE – 2022 – 42948，影响Cobalt Strike version 4.7.1，并源于2022年9月20日发布的一个不完整修补程序，以纠正可能导致远程代码执行的跨站点脚本( XSS )漏洞( CVE – 2022 – 39197)。

  IBM X – Force研究人员Rio Sherri和Ruben Boonen在一篇文章中写道：” XSS漏洞可以通过操作一些客户端UI输入字段、模拟Cobalt Strike植入体签入或挂接运行在主机上的Cobalt Strike植入体来触发。”

然而，研究发现使用Java Swing框架，即设计Cobalt Strike的图形用户界面工具包，可以在特定情况下触发远程代码执行。

  HelpSystems软件开发经理Greg Darwin在一篇文章中解释说：” Java Swing中的某些组件会自动将任何文本解释为HTML内容。在整个客户端禁用html标签的自动解析足以减轻这种行为。

这意味着恶意攻击者可以通过HTML标签来利用这种行为，利用它加载远程服务器上的自定义负载，并将其注入到Cobalt hit UI的笔记字段和图形文件资源管理器菜单中。

 “这里需要指出的是，这是一个非常强大的开发原语，” IBM的研究人员说，它可以用来”构建一个功能齐全的跨平台有效载荷，它能够在用户的机器上执行代码，而不管操作系统的味道或架构如何。”