Novo osmišljena tehnika koristi Windows okvir za pristupačnost nazvan UI Automation (UIA) za obavljanje širokog spektra malicioznih aktivnosti bez najave rješenja za otkrivanje endpoints i odgovor (EDR).
“Da bi iskoristio ovu tehniku, korisnik mora biti uvjeren da pokrene program koji koristi automatizaciju korisničkog interfejsa”, rekao je istraživač sigurnosti Akamai Tomer Peled u izvještaju podijeljenom za The Hacker News. “Ovo može dovesti do prikrivenog izvršavanja naredbi, koje može prikupiti osjetljive podatke, preusmjeriti pretraživače na phishing web stranice i još mnogo toga.”
Što je još gore, lokalni napadači mogli bi iskoristiti ovu sigurnosnu blindspot za izvršavanje naredbi i čitanje/pisanje poruka iz/u aplikacije za razmjenu poruka kao što su Slack i WhatsApp. Povrh toga, potencijalno bi mogao biti naoružan za manipulaciju elementima korisničkog sučelja preko mreže.
Prvo dostupna u Windows XP-u kao dio Microsoft .NET Framework-a, UI Automation je dizajnirana da obezbijedi programski pristup različitim elementima korisničkog interfejsa (UI) i pomogne korisnicima da manipulišu njima pomoću proizvoda pomoćne tehnologije, kao što su čitači ekrana. Također se može koristiti u scenarijima automatskog testiranja.
“Aplikacije asistivne tehnologije obično trebaju pristup zaštićenim elementima korisničkog interfejsa sistema ili drugim procesima koji se mogu pokrenuti na višem nivou privilegija”, napominje Microsoft u dokumentu podrške. „Stoga, sistem mora imati povjerenja u aplikacije pomoćne tehnologije i moraju se izvoditi s posebnim privilegijama.”
“Da bi dobila pristup višim IL procesima, aplikacija pomoćne tehnologije mora postaviti oznaku UIAccess u manifestu aplikacije i pokrenuti je korisnik s administratorskim privilegijama.”
Interakcije korisničkog interfejsa sa elementima u drugim aplikacijama postižu se korištenjem Komponentnog Objektnog Modela ( COM ) kao mehanizma međuprocesne komunikacije (IPC). Ovo omogućava kreiranje UIA objekata koji se mogu koristiti za interakciju sa aplikacijom koja je u fokusu postavljanjem rukovaoca događaja koji se pokreće kada se detektuju određene promene korisničkog interfejsa.
Akamaijevo istraživanje je pokazalo da bi ovaj pristup takođe mogao otvoriti put za zloupotrebu, dozvoljavajući malicioznim hakerima da čitaju/pišu poruke, kradu podatke unesene na web-stranice (npr. informacije o plaćanju) i izvršavaju naredbe koje preusmjeravaju žrtve na maliciozni web stranice kada se trenutno prikazuje web stranica u pretraživaču se osvježava ili mijenja.
“Pored UI elemenata koji su trenutno prikazani na ekranu sa kojima možemo komunicirati, više elemenata se učitava unaprijed i stavlja u keš memoriju”, napomenuo je Peled. „Takođe možemo stupiti u interakciju s tim elementima, kao što je čitanje poruka koje nisu prikazane na ekranu, ili čak postaviti tekstualni okvir i slati poruke bez da se to odrazi na ekranu.”
Uz to, treba napomenuti da je svaki od ovih malicipzni scenarija predviđena karakteristika automatizacije korisničkog sučelja, baš kao što je Android API za usluge pristupačnosti postao osnovni način za malver da izvuče informacije iz kompromitovanih uređaja.
“Ovo se vraća na predviđenu svrhu aplikacije: ti nivoi dozvola moraju postojati da bi se koristila”, dodao je Peled. “Zato je UIA u stanju da zaobiđe Defender — aplikacija ne pronalazi ništa neobično. Ako se nešto vidi kao karakteristika, a ne kao greška, logika mašine će pratiti tu funkciju.”
Od COM do DCOM: vektor bočnog napada
Otkrivanje dolazi kada je Deep Instinct otkrio da se Distribuirani COM ( DCOM ) Remote Protocol, koji omogućava softverskim komponentama da komuniciraju preko mreže, može iskoristiti za daljinsko pisanje prilagođenih korisnih podataka za kreiranje ugrađenog backdoor-a.
Napad “omogućava pisanje prilagođenih DLL-ova na ciljnoj mašini, njihovo učitavanje u uslugu i izvršavanje njihove funkcionalnosti sa proizvoljnim parametrima”, rekao je istraživač sigurnosti Eliran Nissan . “Ovaj napad sličan backdoor-u zloupotrebljava IMsiServer COM interfejs.”
Uz to, izraelska kompanija za cyber sigurnost je istakla da napad ove vrste ostavlja jasne pokazatelje kompromisa (IoC) koji se mogu otkriti i blokirati. Dalje zahtijeva da mašine napadača i žrtve budu u istom domenu.
„Do sada su DCOM napadi bočnog kretanja isključivo istraživani na IDispatch baziranim COM objektima zbog njihove prirode skriptiranja“, rekao je Nissan. Nova metoda ‘ DCOM Upload & Execute ‘ “na daljinu upisuje prilagođena korisna opterećenja u žrtvin [Global Assembly Cache], izvršava ih iz konteksta usluge i komunicira s njima, efikasno funkcionišući kao ugrađeni backdoor.”
“Ovdje predstavljeno istraživanje dokazuje da se mnogi neočekivani DCOM objekti mogu iskoristiti za bočno pomicanje, te da treba uskladiti odgovarajuću odbranu.”
Izvor:The Hacker News
