Злоумышленник может незаметно внедриться в компьютер жертвы с помощью HTML-тегов.
Разработчик инструмента выпустил внеплановое обновление безопасности для устранения RCE-уязвимости, позволяющей злоумышленнику получить контроль над целевыми системами.
Ошибка CVE-2022-42948 затрагивает Cobalt Strike версии 4.7.1 и связана с неполным патчем, выпущенным 20 сентября 2022 года для устранения уязвимости межсайтового скриптинга (XSS). Недостаток может привести к удаленному выполнению кода. Исследователи IBM X-Force заявили , что XSS-уязвимость может быть вызвана манипулированием некоторыми полями ввода пользовательского интерфейса на стороне клиента, имитацией регистрации имплантата Cobalt Strike или подключением имплантата Cobalt Strike, работающего на хосте.
Однако было обнаружено , что удаленное выполнение кода может быть совершено в определенных случаях с помощью среды Java Swing, набора инструментов графического пользовательского интерфейса, который используется для разработки Cobalt Strike.Некоторые компоненты в Java Swing автоматически интерпретируют любой текст как HTML-контент, если он начинается с тега «html». Отключение автоматического анализа тегов «html» в клиенте достаточно, чтобы избежать этого поведения.
Это означает, что киберпреступник может использовать HTML-тег «<object>» для загрузки полезной нагрузки, размещенной на удаленном сервере, и внедрить ее в поле примечания, а также в графическое меню проводника файлов в Cobalt Strike. По словам исследователей IBM, это можно использовать для создания полнофункциональной кроссплатформенной полезной нагрузки, которая сможет выполнять код на компьютере пользователя независимо от операционной системы или архитектуры.
