Критическая RCE-уязвимость обнаружена в Cobalt Strike

Критическая RCE-уязвимость обнаружена в Cobalt Strike

Злоумышленник может незаметно внедриться в компьютер жертвы с помощью HTML-тегов.

Разработчик инструмента Cobalt Strike, компания HelpSystems, выпустил внеплановое обновление безопасности для устранения RCE-уязвимости, позволяющей злоумышленнику получить контроль над целевыми системами.

Ошибка CVE-2022-42948 затрагивает Cobalt Strike версии 4.7.1 и связана с неполным патчем, выпущенным 20 сентября 2022 года для устранения уязвимости межсайтового скриптинга (XSS). Недостаток может привести к удаленному выполнению кода. Исследователи IBM X-Force заявили , что XSS-уязвимость может быть вызвана манипулированием некоторыми полями ввода пользовательского интерфейса на стороне клиента, имитацией регистрации имплантата Cobalt Strike или подключением имплантата Cobalt Strike, работающего на хосте.

Однако было обнаружено , что удаленное выполнение кода может быть совершено в определенных случаях с помощью среды Java Swing, набора инструментов графического пользовательского интерфейса, который используется для разработки Cobalt Strike.Некоторые компоненты в Java Swing автоматически интерпретируют любой текст как HTML-контент, если он начинается с тега «html». Отключение автоматического анализа тегов «html» в клиенте достаточно, чтобы избежать этого поведения.

Это означает, что киберпреступник может использовать HTML-тег «<object>» для загрузки полезной нагрузки, размещенной на удаленном сервере, и внедрить ее в поле примечания, а также в графическое меню проводника файлов в Cobalt Strike. По словам исследователей IBM, это можно использовать для создания полнофункциональной кроссплатформенной полезной нагрузки, которая сможет выполнять код на компьютере пользователя независимо от операционной системы или архитектуры.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!