Les chercheurs en cybersécurité ont découvert de multiples vulnérabilités de déni de service (DoS) dans l’outil de test d’intrusion populaire Cobalt Strike qui peuvent être exploitées par des utilisateurs malveillants,

Malgré les nobles intentions de Cobalt Strike, il est couramment utilisé par les acteurs de la menace pour déployer des charges utiles connues sous le nom de balises afin d’obtenir un accès à distance persistant aux systèmes compromis.

Lors de la récente conférence sur la sécurité BlackHat, des chercheurs de SentinelOne ont révélé une série de vulnérabilités DoS qui auraient pu empêcher la balise de communiquer avec son serveur de commande et de contrôle (C2).

En substance, les vulnérabilités pourraient être utilisées par les chercheurs en sécurité pour perpétrer une attaque DOS sur l’infrastructure des acteurs de la menace.

Arrêter une bonne chose

Les vulnérabilités collectivement suivies sous le nom de CVE-2021-36798, et surnommées Hotcobalt, se déclenchent lorsqu’une fausse balise envoie de fausses réponses de tâche au serveur C2.

Les fausses tâches, que SentinelOne a démontrées sous la forme de captures d’écran anormalement grandes, drainent toute la mémoire du serveur C2 et le font planter, perturbant ainsi le fonctionnement en cours.

De plus, les vulnérabilités sont si graves que même le redémarrage du serveur n’aide pas, car les fausses balises peuvent continuer à envoyer des tâches de drainage de mémoire, faisant planter le serveur à plusieurs reprises.

Lorsqu’elles étaient utilisées par les personnes du côté droit de la loi, les vulnérabilités auraient porté un coup paralysant à toute campagne malveillante utilisant Cobalt Strike.

« Bien qu’utilisé tous les jours pour des attaques malveillantes, Cobalt Strike est finalement un produit légitime, nous avons donc divulgué ces problèmes de manière responsable à HelpSystems et ils ont corrigé les vulnérabilités dans la dernière version », explique SentinelLabs.