Yeni geliştirilen bir teknik, Windows erişilebilirlik çerçevesinden yararlanıyor. Kullanıcı Arayüzü Otomasyonu (UIA) uç nokta algılama ve yanıt (EDR) çözümlerini etkilemeden çok çeşitli kötü amaçlı etkinlikleri gerçekleştirmek.
Akamai güvenlik araştırmacısı Tomer Peled, “Bu teknikten yararlanmak için kullanıcının UI Otomasyonu kullanan bir programı çalıştırmaya ikna edilmesi gerekir” dedi. rapor The Hacker News ile paylaşıldı. “Bu, hassas verileri toplayabilen, tarayıcıları kimlik avı web sitelerine yönlendirebilen ve daha fazlasına yol açabilen gizli komut yürütmeye yol açabilir.”
Daha da kötüsü, yerel saldırganlar, Slack ve WhatsApp gibi mesajlaşma uygulamalarından komutları yürütmek ve mesaj okumak/yazmak için bu güvenlik kör noktasından yararlanabilir. Bunun da ötesinde, bir ağ üzerinden kullanıcı arayüzü öğelerini manipüle etmek için potansiyel olarak silah haline getirilebilir.
İlk olarak Microsoft .NET Framework’ün bir parçası olarak Windows XP’de kullanıma sunulan UI Otomasyonu, tasarlanmış çeşitli kullanıcı arayüzü (UI) öğelerine programlı erişim sağlamak ve kullanıcıların ekran okuyucular gibi yardımcı teknoloji ürünlerini kullanarak bunları yönetmelerine yardımcı olmak. Ayrıca olabilir kullanılmış otomatik test senaryolarında.
Microsoft, “Yardımcı teknoloji uygulamalarının genellikle korumalı sistem kullanıcı arayüzü öğelerine veya daha yüksek ayrıcalık düzeyinde çalışan diğer işlemlere erişmesi gerekir.” notlar bir destek belgesinde. “Bu nedenle, yardımcı teknoloji uygulamalarına sistem tarafından güvenilmeli ve özel ayrıcalıklarla çalıştırılmalıdır.”
“Daha yüksek IL süreçlerine erişim elde etmek için, bir yardımcı teknoloji uygulamasının, uygulamanın bildiriminde UIAccess bayrağını ayarlaması ve yönetici ayrıcalıklarına sahip bir kullanıcı tarafından başlatılması gerekir.”
Diğer uygulamalardaki öğelerle kullanıcı arayüzü etkileşimleri, Bileşen Nesne Modeli (Bileşen Nesne Modeli) kullanılarak elde edilir.COM) süreçler arası iletişim (IPC) mekanizması olarak. Bu, belirli kullanıcı arayüzü değişiklikleri algılandığında tetiklenen bir olay işleyicisi ayarlayarak, odaklanılan bir uygulamayla etkileşimde bulunmak için kullanılabilecek UIA nesneleri oluşturmayı mümkün kılar.
Akamai’nin araştırması, bu yaklaşımın kötü niyetli aktörlerin mesajları okumasına/yazmasına, web sitelerine girilen verileri (örn. ödeme bilgileri) çalmasına ve halihazırda görüntülenen bir web sitesi görüntülendiğinde kurbanları kötü amaçlı web sitelerine yönlendiren komutları yürütmesine olanak tanıyarak kötüye kullanım için bir yol açabileceğini buldu. tarayıcıdaki sayfa yenilenir veya değişir.
Peled, “Ekranda gösterilen ve etkileşimde bulunabileceğimiz kullanıcı arayüzü öğelerine ek olarak, daha fazla öğe önceden yükleniyor ve bir önbelleğe yerleştiriliyor.” dedi. “Ekranda gösterilmeyen mesajları okumak, hatta metin kutusunu ayarlamak ve ekrana yansımadan mesaj göndermek gibi öğelerle de etkileşime girebiliyoruz.”
Bununla birlikte, bu kötü niyetli senaryoların her birinin, tıpkı Android’in erişilebilirlik hizmetleri API’sinin, kötü amaçlı yazılımların güvenliği ihlal edilmiş cihazlardan bilgi ayıklamak için temel bir yol haline gelmesi gibi, UI Otomasyonunun amaçlanan bir özelliği olduğunu belirtmekte fayda var.
Peled, “Bu, uygulamanın amaçlanan amacına geri dönüyor: Uygulamayı kullanmak için bu izin seviyelerinin mevcut olması gerekiyor.” diye ekledi. “UIA’nın Defender’ı atlayabilmesinin nedeni budur; uygulama sıra dışı hiçbir şeyi bulamaz. Bir şey hata olarak değil de özellik olarak görülürse, makinenin mantığı bu özelliği takip edecektir.”
COM’dan DCOM’a: Yanal Hareket Saldırı Vektörü
Açıklama, Deep Instinct’in Dağıtılmış COM’un (DCOM) Uzaktan Protokol, izin verir Bir ağ üzerinden iletişim kurmaya yönelik yazılım bileşenleri, yerleşik bir arka kapı oluşturmak amacıyla uzaktan özel veriler yazmak için kullanılabilir.
Güvenlik araştırmacısı Eliran Nissan, saldırının “özel DLL’lerin hedef makineye yazılmasına, bunları bir hizmete yüklemesine ve isteğe bağlı parametrelerle işlevlerinin yürütülmesine olanak sağladığını” söyledi. söz konusu. “Bu arka kapı benzeri saldırı, IMsiServer COM arayüzünü kötüye kullanıyor.”
Bununla birlikte İsrailli siber güvenlik şirketi, bu tür bir saldırının tespit edilebilecek ve engellenebilecek açık risk göstergeleri (IoC’ler) bıraktığını belirtti. Ayrıca saldırgan ve kurban makinelerin aynı etki alanında olmasını gerektirir.
“Şimdiye kadar DCOM yanal hareket saldırıları Nissan, “Scriptable doğaları nedeniyle özel olarak IDispatch tabanlı COM nesneleri üzerinde araştırıldı” dedi.DCOM Yükleme ve Yürütme‘ yöntemi “kurbanın bilgilerine uzaktan özel veriler yazar [Global Assembly Cache]bunları bir hizmet bağlamından çalıştırır ve onlarla iletişim kurarak etkin bir şekilde yerleşik bir arka kapı işlevi görür.”
“Burada sunulan araştırma, birçok beklenmedik DCOM nesnesinin yanal hareket için kullanılabileceğini ve uygun savunmaların hizalanması gerektiğini kanıtlıyor.”
