Hotcobalt: Sentinelone warnt vor Schwachstelle im Hacking-Tool Cobalt Strike

Cobalt Strike sei eines, wenn nicht sogar das beliebteste Angriffs-Framework

[datensicherheit.de, 04.08.2021] Sicherheitsforscher des Sentinel Labs haben nach eigenen Angaben „in den neuesten Versionen des ,Cobalt Strike‘-Servers, des beliebten Hacker-Tools, mehrere Denial-of-Service-Schwachstellen (CVE-2021-36798) gefunden“. Diese Schwachstellen könnten dazu führen, dass bestehende „Beacons“ nicht mehr mit dem „C2“-Server kommunizieren, neue „Beacons“ nicht mehr installiert und laufende Operationen gestört werden könnten. Die Forscher haben demnach eine neue „Python“-Bibliothek veröffentlicht, um die „Beacon“-Kommunikation allgemein zu analysieren und die „Security Community“ zu unterstützen. Die Schwachstelle sei an die Betreiberfirma Helpsystems gemeldet und inzwischen gepatcht worden.

Red Teams, aber auch Cyber-Kriminelle nutzen Cobalt Strike

„Cobalt Strike“ sei eines, wenn nicht sogar das beliebteste Angriffs-Framework, welches für „Red Team Operations“ entwickelt worden sei. Einerseits verwendeten viele sogenannte Red Teams „Cobalt Strike“, aber andererseits nutzten es auch viele Cyber-Kriminelle.
Bereits zuvor habe es eine bekannte Schwachstelle in „Cobalt Strike“ gegeben. Für ein tieferes Verständnis der Kommunikationsinterna von „Beacon“ lohne es sich, den Bericht der nccgroup zu lesen. In der Praxis diese Schwachstelle, welche den Namen „Hotcobalt“ erhalten habe, die Remote-Code-Ausführung auf dem Server ermöglicht.

Per gefälschtem Beacon mit Cobalt Strike-Server kommuniziert und diesen überlastet

„Die Forscher konnten in einem Test die Größe eines Screenshots verändern und mit einem gefälschten ,Beacon‘ mit dem ,Cobalt Strike‘-Server kommunizieren und ihn mit einem speziellen ,POC Python‘-Skript überlasten.“ Dieses Skript analysiere die Konfiguration des „Beacons“ und verwende die darin gespeicherten Informationen, um einen neuen zufälligen „Beacon“ auf dem Server zu registrieren.
„Nach der Registrierung des ,Beacon‘ wird das oben gefundene Primitiv verwendet, um iterativ gefälschte Aufgabenantworten zu senden, die jedes bisschen verfügbaren Speicher aus dem Webserver-Thread des C2 ausnutzen.“ Dies führe zum Absturz des „Web-Threads“ des Servers, welcher den HTTP-Stager und „Beacon“-Kommunikation verarbeite.

Rechner mit Cobalt Strike-Server könnte lahmgelegt werden

Auf diese Weise könne ein böswilliger Akteur auf dem Rechner, auf dem der „Cobalt“-Server läuft, die Speicherkapazität erschöpfen, „so dass der Server nicht mehr reagiert, bis er neu gestartet wird“. Dies bedeute, dass „Live-Beacon“ nicht mit ihrem „C2“ kommunizieren könnten, bis die Betreiber den Server neu starteten. Ein Neustart reiche jedoch nicht aus, um sich gegen diese Schwachstelle zu schützen, da es möglich sei, den Server wiederholt anzugreifen, bis er gepatcht oder die Konfiguration des Beacons geändert wird.
In beiden Fällen würden die vorhandenen „Live-Beacons“ obsolet werden, da sie nicht mehr mit dem Server kommunizieren könnten, bis sie mit der neuen Konfiguration aktualisiert werden. Daher könne diese Schwachstelle den laufenden Betrieb erheblich beeinträchtigen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.02.2020
SentinelLabs: Hacker-Gruppe Gamaredon verstärkt Angriffe auf ukrainische Behörden

SentinelLABS, 04.08.2021
Security Research / Hotcobalt – New Cobalt Strike DoS Vulnerability That Lets You Halt Operations

Sentinel-One / CobaltStrikeParser
communication_poc.py

nccgroup, Exploit Development Group, 15.06.2020
Striking Back at Retired Cobalt Strike: A look at a legacy vulnerability