Elasticsearchは2024年このほど、「GrimResource - Microsoft Management Console for initial access and evasion — Elastic Security Labs」において、Windowsの「MSCファイル」を利用する新しい攻撃手法「GrimResource」を発見したと伝えた。

  • GrimResource - Microsoft Management Console for initial access and evasion — Elastic Security Labs

    GrimResource - Microsoft Management Console for initial access and evasion — Elastic Security Labs

新しい攻撃手法「GrimResource」の特徴

GrimResourceはapds.dllライブラリに存在する古いクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性を悪用する。攻撃者はMSCファイルの適切なStringTableセクションに脆弱なAPDSリソースへの参照を追加することで、Microsoft管理コンソール(MMC: Microsoft Management Console)のコンテキスト内で任意のJavaScriptを実行することができる。

  • apds.dllを悪用するMSCファイルの例 — 引用:Elasticsearch

    apds.dllを悪用するMSCファイルの例  引用:Elasticsearch

Elasticsearchは悪用されたMSCファイルをVirusTotalにて検索した結果、検出できるセキュリティソリューションはゼロだったと説明している。このMSCファイルはJavaScriptを介して悪意のあるVBスクリプトを実行し、最終的に「Cobalt Strike」を展開するとされる。

対策

BleepingComputerによると、apds.dllライブラリーに存在する古いクロスサイトスクリプティングの脆弱性は、2018年10月にMicrosoftに報告されていたという(参考「New attack uses MSC files and Windows XSS flaw to breach networks」)。しかしながら、速やかな修正は必要ないと判断されて即時の対策はされず、その後修正されたかも不明としている。

そのため、この脆弱性が放置されていたのか、デグレードにより再発したのかはわかっていない。いずれにせよ、Microsoftには速やかな対策が求められている。

ElasticsearchはGrimResourceを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。