Una técnica recientemente ideada aprovecha un marco de accesibilidad de Windows llamado Automatización de la interfaz de usuario (UIA) para realizar una amplia gama de actividades maliciosas sin alertar a las soluciones de detección y respuesta de endpoints (EDR).
“Para explotar esta técnica, se debe convencer al usuario de que ejecute un programa que utilice UI Automation”, dijo el investigador de seguridad de Akamai, Tomer Peled, en un informe compartido con The Hacker News. “Esto puede llevar a la ejecución sigilosa de comandos, lo que puede recopilar datos confidenciales, redirigir los navegadores a sitios web de phishing y más”.
Peor aún, los atacantes locales podrían aprovechar este punto ciego de seguridad para ejecutar comandos y leer/escribir mensajes desde/hacia aplicaciones de mensajería como Slack y WhatsApp. Además de eso, también podría usarse como arma para manipular elementos de la interfaz de usuario a través de una red.
Disponible por primera vez en Windows XP como parte de Microsoft .NET Framework, UI Automation es diseñado para proporcionar acceso programático a varios elementos de la interfaz de usuario (UI) y ayudar a los usuarios a manipularlos utilizando productos de tecnología de asistencia, como lectores de pantalla. También puede ser usado en escenarios de pruebas automatizadas.
“Las aplicaciones de tecnología de asistencia normalmente necesitan acceso a los elementos protegidos de la interfaz de usuario del sistema o a otros procesos que podrían estar ejecutándose con un nivel de privilegio más alto”, Microsoft notas en un documento de soporte. “Por lo tanto, el sistema debe confiar en las aplicaciones de tecnología de asistencia y deben ejecutarse con privilegios especiales”.
“Para obtener acceso a procesos de IL superiores, una aplicación de tecnología de asistencia debe configurar el indicador UIAccess en el manifiesto de la aplicación y ser iniciada por un usuario con privilegios de administrador”.
Las interacciones de la interfaz de usuario con elementos de otras aplicaciones se logran mediante el uso del modelo de objetos componentes (COM) como mecanismo de comunicación entre procesos (IPC). Esto hace posible crear objetos UIA que se pueden usar para interactuar con una aplicación enfocada configurando un controlador de eventos que se activa cuando se detectan ciertos cambios en la interfaz de usuario.
La investigación de Akamai encontró que este enfoque también podría abrir una vía para el abuso, permitiendo a actores maliciosos leer/escribir mensajes, robar datos ingresados en sitios web (por ejemplo, información de pago) y ejecutar comandos que redirigen a las víctimas a sitios web maliciosos cuando se muestra una página web actualmente. La página en un navegador se actualiza o cambia.
“Además de los elementos de la interfaz de usuario que se muestran actualmente en la pantalla con los que podemos interactuar, se cargan más elementos por adelantado y se colocan en un caché”, señaló Peled. “También podemos interactuar con esos elementos, como leer mensajes que no se muestran en pantalla, o incluso configurar el cuadro de texto y enviar mensajes sin que se refleje en pantalla”.
Dicho esto, vale la pena señalar que cada uno de estos escenarios maliciosos es una característica prevista de la automatización de la interfaz de usuario, al igual que la API de servicios de accesibilidad de Android se ha convertido en una forma básica para que el malware extraiga información de los dispositivos comprometidos.
“Esto se remonta al propósito previsto de la aplicación: esos niveles de permisos deben existir para poder utilizarla”, añadió Peled. “Esta es la razón por la que UIA puede eludir Defender: la aplicación no encuentra nada fuera de lo común. Si algo se ve como una característica en lugar de un error, la lógica de la máquina seguirá la característica”.
De COM a DCOM: un vector de ataque de movimiento lateral
La divulgación se produce cuando Deep Instinct reveló que el COM distribuido (DCOM) el protocolo remoto, que permite que los componentes de software se comuniquen a través de una red, podría aprovecharse para escribir de forma remota cargas útiles personalizadas para crear una puerta trasera integrada.
El ataque “permite escribir archivos DLL personalizados en una máquina objetivo, cargarlos en un servicio y ejecutar su funcionalidad con parámetros arbitrarios”, dijo el investigador de seguridad Eliran Nissan. dicho. “Este ataque tipo puerta trasera abusa de la interfaz COM de IMsiServer”.
Dicho esto, la empresa israelí de ciberseguridad señaló que un ataque de este tipo deja claros indicadores de compromiso (IoC) que pueden ser detectados y bloqueados. Además, requiere que las máquinas del atacante y de la víctima estén en el mismo dominio.
“Hasta ahora, Ataques de movimiento lateral DCOM han sido investigados exclusivamente en objetos COM basados en IDispatch debido a su naturaleza programable”, dijo Nissan. El nuevo ‘Carga y ejecución de DCOM‘método “escribe de forma remota cargas útiles personalizadas en el servidor de la víctima [Global Assembly Cache]los ejecuta desde un contexto de servicio y se comunica con ellos, funcionando efectivamente como una puerta trasera integrada”.
“La investigación presentada aquí demuestra que muchos objetos DCOM inesperados pueden ser explotables para el movimiento lateral, y se deben alinear las defensas adecuadas”.
About the Author
