Cobalt Strike

Die Schwachstelle steckt im Teamserver von Cobalt Strike, der zentralen Steuerungskomponente dieser Angriffssimulations-Software von Fortra. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS): Über sie lässt sich aus der Ferne fremder HTML- bzw. Skriptcode in die Oberfläche des Teamservers einschleusen und dort zur Ausführung bringen. Zum Ausnutzen muss ein Angreifer zunächst eine vom Teamserver erzeugte Payload (einen sogenannten Beacon) untersuchen und anschließend das Benutzernamen-Feld in dieser Payload bzw. in der zugehörigen Beacon-Konfiguration manipulieren. Setzt er dort einen bewusst fehlerhaft aufgebauten Benutzernamen ein, verarbeitet der Teamserver diesen Wert ungeprüft und führt den eingebetteten Code aus. Auf diesem Weg kann ein Angreifer Code im Kontext des Teamservers ausführen und die Kontrolle über die Steuerzentrale gewinnen – also ausgerechnet jene Komponente kompromittieren, die normalerweise die Angriffswerkzeuge dirigiert.