流行Cobalt Strike黑客软件中发现的关键RCE漏洞

Cobalt Strike软件平台背后的公司HelpSystems发布了带外安全更新，以解决远程代码执行漏洞，该漏洞可能会让攻击者控制目标系统。

Cobalt Strike是一个商业红色团队框架，主要用于对手模拟，但该软件的破解版本已被勒索软件运营商和以间谍活动为重点的高级持续威胁（APT）组织积极滥用。

利用后工具由团队服务器和信标组成，团队服务器充当指挥和控制（C2）组件，信标是用于创建与团队服务器的连接并丢弃下一阶段有效载荷的默认恶意软件。

问题，跟踪为电子邮箱2022-42948，影响Cobalt Strike 4.7.1版，源于2022年9月20日发布的一个不完整补丁，该补丁旨在纠正可能导致远程代码执行的跨站点脚本（XSS）漏洞（CVE-2022-39197）。

IBM X-Force研究人员Rio Sherri和Ruben Boonen在一篇报道中表示：“XSS漏洞可能是通过操纵一些客户端UI输入字段、模拟Cobalt Strike植入物签入或钩住主机上运行的Cobalt Stroke植入物而触发的”。

然而，研究发现，在特定情况下，可以使用Java Swing框架触发远程代码执行，Java Swing是一个用于设计Cobalt Strike的图形用户界面工具包。

HelpSystems的软件开发经理Greg Darwin在一篇文章中解释道：“如果任何文本以HTML；开头，Java Swing中的某些组件都会自动将其解释为HTML内容”。“在整个客户端上禁用HTML标记的自动分析足以减轻这种行为”。

这意味着恶意参与者可以通过HTML；对象；标签，利用它来加载远程服务器上托管的自定义负载，并将其注入注释字段以及Cobalt strike UI中的图形文件浏览器菜单中。

IBM研究人员表示：“这里需要注意的是，这是一个非常强大的开发原始，”并补充道，它可以用于“构建一个功能齐全的跨平台负载，无论操作系统风格或架构如何，都可以在用户的机器上执行代码”。

一周多前，美国卫生与公众服务部（HHS）警告称，在针对医疗部门的袭击中，钴罢工等合法工具仍在继续武器化。