Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Una nueva técnica de malware podría aprovechar el marco de la interfaz de usuario de Windows para evadir las herramientas EDR
  • Tecnología

Una nueva técnica de malware podría aprovechar el marco de la interfaz de usuario de Windows para evadir las herramientas EDR

teknomers 11 de Aralık de 2024 (Last updated: 11 de Aralık de 2024) 5 minutes read
Una nueva técnica de malware podría aprovechar el marco de


11 de diciembre de 2024Ravie LakshmananMalware/Seguridad de terminales

Una técnica recientemente ideada aprovecha un marco de accesibilidad de Windows llamado Automatización de la interfaz de usuario (UIA) para realizar una amplia gama de actividades maliciosas sin alertar a las soluciones de detección y respuesta de endpoints (EDR).

“Para explotar esta técnica, se debe convencer al usuario de que ejecute un programa que utilice UI Automation”, dijo el investigador de seguridad de Akamai, Tomer Peled, en un informe compartido con The Hacker News. “Esto puede llevar a la ejecución sigilosa de comandos, lo que puede recopilar datos confidenciales, redirigir los navegadores a sitios web de phishing y más”.

Peor aún, los atacantes locales podrían aprovechar este punto ciego de seguridad para ejecutar comandos y leer/escribir mensajes desde/hacia aplicaciones de mensajería como Slack y WhatsApp. Además de eso, también podría usarse como arma para manipular elementos de la interfaz de usuario a través de una red.

Disponible por primera vez en Windows XP como parte de Microsoft .NET Framework, UI Automation es diseñado para proporcionar acceso programático a varios elementos de la interfaz de usuario (UI) y ayudar a los usuarios a manipularlos utilizando productos de tecnología de asistencia, como lectores de pantalla. También puede ser usado en escenarios de pruebas automatizadas.

Ciberseguridad

“Las aplicaciones de tecnología de asistencia normalmente necesitan acceso a los elementos protegidos de la interfaz de usuario del sistema o a otros procesos que podrían estar ejecutándose con un nivel de privilegio más alto”, Microsoft notas en un documento de soporte. “Por lo tanto, el sistema debe confiar en las aplicaciones de tecnología de asistencia y deben ejecutarse con privilegios especiales”.

“Para obtener acceso a procesos de IL superiores, una aplicación de tecnología de asistencia debe configurar el indicador UIAccess en el manifiesto de la aplicación y ser iniciada por un usuario con privilegios de administrador”.

Las interacciones de la interfaz de usuario con elementos de otras aplicaciones se logran mediante el uso del modelo de objetos componentes (COM) como mecanismo de comunicación entre procesos (IPC). Esto hace posible crear objetos UIA que se pueden usar para interactuar con una aplicación enfocada configurando un controlador de eventos que se activa cuando se detectan ciertos cambios en la interfaz de usuario.

La investigación de Akamai encontró que este enfoque también podría abrir una vía para el abuso, permitiendo a actores maliciosos leer/escribir mensajes, robar datos ingresados ​​en sitios web (por ejemplo, información de pago) y ejecutar comandos que redirigen a las víctimas a sitios web maliciosos cuando se muestra una página web actualmente. La página en un navegador se actualiza o cambia.

“Además de los elementos de la interfaz de usuario que se muestran actualmente en la pantalla con los que podemos interactuar, se cargan más elementos por adelantado y se colocan en un caché”, señaló Peled. “También podemos interactuar con esos elementos, como leer mensajes que no se muestran en pantalla, o incluso configurar el cuadro de texto y enviar mensajes sin que se refleje en pantalla”.

Dicho esto, vale la pena señalar que cada uno de estos escenarios maliciosos es una característica prevista de la automatización de la interfaz de usuario, al igual que la API de servicios de accesibilidad de Android se ha convertido en una forma básica para que el malware extraiga información de los dispositivos comprometidos.

“Esto se remonta al propósito previsto de la aplicación: esos niveles de permisos deben existir para poder utilizarla”, añadió Peled. “Esta es la razón por la que UIA puede eludir Defender: la aplicación no encuentra nada fuera de lo común. Si algo se ve como una característica en lugar de un error, la lógica de la máquina seguirá la característica”.

De COM a DCOM: un vector de ataque de movimiento lateral

La divulgación se produce cuando Deep Instinct reveló que el COM distribuido (DCOM) el protocolo remoto, que permite que los componentes de software se comuniquen a través de una red, podría aprovecharse para escribir de forma remota cargas útiles personalizadas para crear una puerta trasera integrada.

Ciberseguridad

El ataque “permite escribir archivos DLL personalizados en una máquina objetivo, cargarlos en un servicio y ejecutar su funcionalidad con parámetros arbitrarios”, dijo el investigador de seguridad Eliran Nissan. dicho. “Este ataque tipo puerta trasera abusa de la interfaz COM de IMsiServer”.

Dicho esto, la empresa israelí de ciberseguridad señaló que un ataque de este tipo deja claros indicadores de compromiso (IoC) que pueden ser detectados y bloqueados. Además, requiere que las máquinas del atacante y de la víctima estén en el mismo dominio.

“Hasta ahora, Ataques de movimiento lateral DCOM han sido investigados exclusivamente en objetos COM basados ​​en IDispatch debido a su naturaleza programable”, dijo Nissan. El nuevo ‘Carga y ejecución de DCOM‘método “escribe de forma remota cargas útiles personalizadas en el servidor de la víctima [Global Assembly Cache]los ejecuta desde un contexto de servicio y se comunica con ellos, funcionando efectivamente como una puerta trasera integrada”.

“La investigación presentada aquí demuestra que muchos objetos DCOM inesperados pueden ser explotables para el movimiento lateral, y se deben alinear las defensas adecuadas”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Estrella del Chelsea al Bayern? Eso es lo que dice Eberl.
Next: ¿Todavía hay esperanza para quienes buscan vivienda? Casas nuevas más rápidas en Schiphol

Related Stories

Prueba Soundcore Liberty 5 Pro / Pro Max: unos auriculares
  • Tecnología

Prueba Soundcore Liberty 5 Pro / Pro Max: unos auriculares innovadores que hacen temblar a los mejores

teknomers 11 de Temmuz de 2026
Pequeños jardines, ¡regocíjense!: este robot cortacésped Mammotion con navegación IA
  • Tecnología

Pequeños jardines, ¡regocíjense!: este robot cortacésped Mammotion con navegación IA 3D tiene un descuento de -200€

teknomers 11 de Temmuz de 2026
Apple dominará ampliamente el mercado de los relojes inteligentes IA
  • Tecnología

Apple dominará ampliamente el mercado de los relojes inteligentes IA en 2026

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

Cita del Día: Perspectiva Duradera Sobre la Autoconciencia: Cita del día de Stan Lee: “La suerte es para los perdedores. Todo se trata de…” — La sabiduría atemporal del creador de Spider-man, Stan Lee, y cómo esta sencilla lección de vida puede cambiar nuestra forma de pensar sobre el éxito y las oportunidades.

teknomers 11 de Temmuz de 2026
  • Deporte

Heather Knight: La excapitana de Inglaterra se retira del cricket internacional

teknomers 11 de Temmuz de 2026
  • General

«Hicieron un grave error»: un diputado estadounidense asegura haber sido retenido por colonos israelíes en Cisjordania

teknomers 11 de Temmuz de 2026
Argentino-Suizo: ¿Quién es João Pinheiro, el árbitro portugués designado para
  • Deporte

Argentino-Suizo: ¿Quién es João Pinheiro, el árbitro portugués designado para su primer cuarto de final de la Copa del Mundo?

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.