6 月 25 日消息，網絡安全公司 Elastic Security 于 6 月 22 日發布博文，曝光了名為 GrimResource 的全新攻擊技術，利用特制的微軟管理控制臺（MMC）文件，以及尚未修復的 Windows 跨站腳本攻擊（XSS）漏洞，來執行任意代碼。

Elastic Security 于今年 6 月 6 日發現了上傳到  VirusTotal 的一個樣本（sccm-updater.msc），發現已經有黑客利用 GrimResource 發起網絡攻擊，而且目前最新 Windows 11 版本中尚未修復這個跨站腳本漏洞。

GrimResource 攻擊始于一個惡意 MSC 文件，該文件試圖利用 "apds.dll" 庫中一個基于 DOM 的跨站腳本漏洞，通過偽造的 URL 執行任意 JavaScript。

該漏洞于 2018 年 10 月報告給 Adobe 和微軟，雖然兩家公司都進行了調查，但微軟認定該漏洞不符合立即修復的標準。

截至 2019 年 3 月，該跨站腳本漏洞仍未打補丁，目前尚不清楚該漏洞是否已得到解決。

在 StringTable 中引用 apds.dll 重定向

惡意 VBScript 文件

攻擊者分發的惡意 MSC 文件包含對 StringTable 部分中存在漏洞的 APDS 資源的引用，因此當目標打開該文件時，MMC 會對其進行處理，并在“mmc.exe”情境中觸發 JS 執行。

Elastic 解釋說，跨站腳本漏洞可與“DotNetToJScript”技術相結合，通過 JavaScript 引擎執行任意 .NET 代碼，從而繞過任何安全措施。

IT之家附上該跨站腳本演示圖如下：