Fortra ha lanzado Cobalt Strike 4.11.1, una actualización fuera de banda que aborda un problema crítico descubierto en el reciente lanzamiento 4.11.
Lanzado el 12 de mayo de 2025, esta actualización se centra principalmente en abordar los problemas con las características del certificado SSL y agregar advertencias de deprecación para las características heredadas al tiempo que resuelve las cintas de correr del módulo.
Se ha resuelto un bloqueo de machos en el módulo
La solución más importante resuelve un problema crítico en el que las balizas se bloquean bajo ciertas condiciones cuando se usa pisotones del módulo junto con la nueva técnica de inyección OBFSetThreadContext introducida en la versión 4.11.
Este bloqueo ocurrió especialmente cuando se habilitó los procesos con protección de flujo de control.
“Se solucionamos un problema que causó que las balizas se bloquearan cuando se usó pisoteo del módulo junto con la inyección de OBFSetThreadContext cuando los procesos de destino habilitaron la protección de flujo de control”, dijo el anuncio de la liberación oficial.
Se ha implementado un parche para abordar esta vulnerabilidad. Para los usuarios que implementan cargadores reflectantes definidos por el usuario (UDRL) que ejecutan heces de módulos, Fortra recomienda establecer explícitamente el parámetro Method_ModulEdomp como parte de la estructura asignada_Memory de la implementación de UDRL.
Esto mantiene a la baliza consciente de posibles problemas relacionados con la protección del flujo de control. Se recomienda que el equipo se refiera al cargador UDRL-VS incluido en el Kit del Arsenal Cobalt Strike para una implementación de ejemplo.
Arreglar la casilla de verificación “Habilitar SSL”
Esta actualización también aborda problemas importantes de facilidad de uso con la función de casilla de verificación “Habilitar SSL”.
Anteriormente, cuando un usuario configuró un certificado autofirmado a través de la configuración “HTTPS-Certificate”, la casilla de verificación “Habilitar SSL” se deshabilitó para evitar que HTTPS se habilitara.
Con la versión 4.11.1, los certificados de autofirmación habilitan correctamente la función de casilla de verificación, lo que permite a los usuarios implementar una comunicación segura con la infraestructura de Beacon.
El documento de Cobalt Strike proporciona dos enfoques para implementar certificados SSL.
Certificados SSL autofirmados configurables a través de parámetros que incluyen país (c), nombre común (CN), organización (O) y período de validez.
Esta versión también introduce una advertencia de deprecación explícita para cargadores reflexivos en el programa C2Lint.
Este es un movimiento después del anuncio del equipo en la versión 4.11, para planificar el cargador como el mecanismo predeterminado.
La utilidad C2Lint muestra una advertencia cuándo se usa Stone Proder, mejorando el final del apoyo pendiente en futuras lanzamientos.
Actualización ahora
La actualización 4.11.1 se produce solo dos meses después del lanzamiento principal 4.11. Introdujo nuevas características importantes, como nuevas máscaras de sueño para la ofuscación de tiempo de ejecución, la técnica de inyección de proceso OBFSetThreadContext y DNS a través de la funcionalidad de baliza HTTPS (DOH).
Los usuarios con licencia pueden descargar la versión 4.11.1 inmediatamente desde el sitio web de Fortra. Las organizaciones que administran los entornos de huelga de cobalto existentes que no requieren actualizaciones inmediatas pueden usar la página de generación de aprobación para recuperar nuevos archivos de aprobación, en lugar de realizar una actualización completa.
Este rápido lanzamiento fuera de banda demuestra el compromiso de Fortra de abordar rápidamente problemas críticos con la plataforma de simulación Red Team.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
