Win11尚未修复，新跨站脚本攻击GrimResource曝光

显示全部楼层 · 2024-6-27 13:49:57|发表时间：2024-6-27 13:49:57

网络安全公司Elastic Security近日发布了一篇博文，披露了名为“GrimResource”的全新攻击技术。该技术利用特制的微软管理控制台（MMC）文件和尚未修复的Windows跨站脚本攻击（XSS）漏洞来执行任意代码。
根据Elastic Security在今年6月6日发现并上传到VirusTotal的一份样本（sccm-updater.msc），黑客已经利用GrimResource开始网络攻击，并且在最新的Windows 11版本中尚未修复这个跨站脚本漏洞。
GrimResource攻击始于一个恶意MSC文件，该文件试图利用apds.dll库中一个基于DOM的跨站脚本漏洞，在伪造的URL下执行任意JavaScript代码。该漏洞于2018年10月被报告给Adobe和微软，并经过调查确认存在该问题，但微软认为不符合立即修复的标准。尽管如此，在2019年3月之前仍未采取补丁措施。
目前尚不清楚该漏洞是否已经解决。攻击者分发的恶意MSC文件包含对StringTable部分中存在漏洞APDS资源引用的代码。当目标用户打开该文件时，MMC会对其进行处理，并在"mmc.exe"情境下触发JavaScript代码的执行。
值得注意的是，跨站点脚本漏洞可以与"DotNetToJScript"技术相结合，通过JavaScript引擎执行任意.NET代码，从而绕过任何安全措施。