Uma nova técnica utiliza um framework de acessibilidade do Windows chamado UI Automation (UIA) para realizar uma ampla gama de atividades maliciosas sem alertar as soluções de detecção e resposta de endpoint (EDR).
"Para explorar essa técnica, é necessário convencer um usuário a executar um programa que utiliza UI Automation", disse o pesquisador de segurança da Akamai, Tomer Peled, em um relatório compartilhado.
Isso pode levar à execução de comandos de maneira furtiva, que podem colher dados sensíveis, redirecionar navegadores para sites de phishing e mais.
Ainda pior, atacantes locais poderiam aproveitar esse ponto cego de segurança para executar comandos e ler/escrever mensagens de/para aplicativos de mensagens como Slack e WhatsApp.
Além disso, isso também poderia ser potencialmente armado para manipular elementos da UI por uma rede.
Disponível pela primeira vez no Windows XP como parte do Microsoft .NET Framework, o UI Automation é projetado para fornecer acesso programático a diversos elementos da interface do usuário (UI) e ajudar os usuários a manipulá-los usando produtos de tecnologia assistiva, como leitores de tela.
Ele também pode ser usado em cenários de testes automatizados.
"Aplicações de tecnologia assistiva normalmente precisam acessar elementos de sistema protegidos da UI, ou outros processos que podem estar rodando em um nível de privilégio mais alto", a Microsoft nota em um documento de suporte.
Portanto, aplicações de tecnologia assistiva devem ser confiáveis pelo sistema e devem rodar com privilégios especiais.
Para acessar processos de Nível de Integridade (IL) mais alto, uma aplicação de tecnologia assistiva deve definir a bandeira UIAccess no manifesto da aplicação e ser lançada por um usuário com privilégios de administrador.
As interações da UI com elementos em outras aplicações são alcançadas pelo uso do Component Object Model (COM) como um mecanismo de comunicação entre processos (IPC).
Isso torna possível criar objetos UIA que podem ser usados para interagir com uma aplicação que está em foco, configurando um manipulador de evento que é acionado quando certas mudanças de UI são detectadas.
A pesquisa da Akamai descobriu que essa abordagem também poderia abrir caminho para abuso, permitindo que atores maliciosos leiam/escrevam mensagens, roubem dados inseridos em sites (por exemplo, informações de pagamento) e executem comandos que redirecionam vítimas para sites maliciosos quando uma página da web atualmente exibida em um navegador é atualizada ou muda.
"Além dos elementos da UI atualmente mostrados na tela com os quais podemos interagir, mais elementos são carregados antecipadamente e colocados em um cache", Peled observou.
Também podemos interagir com esses elementos, como ler mensagens não mostradas na tela, ou até mesmo configurar a caixa de texto e enviar mensagens sem que isso seja refletido na tela.
Dito isso, vale ressaltar que cada um desses cenários maliciosos é um recurso pretendido do UI Automation, assim como os serviços de acessibilidade da API do Android se tornaram uma maneira fundamental para malwares extrair informações de dispositivos comprometidos.
"Isso volta para a finalidade pretendida da aplicação: Esses níveis de permissão têm que existir para poder usá-la", Peled acrescentou.
É por isso que o UIA consegue burlar o Defender — a aplicação não encontra nada fora do comum.
Se algo é visto como um recurso em vez de um bug, a lógica da máquina seguirá o recurso.
De COM a DCOM: Um Vetor de Ataque de Movimentação Lateral.
A divulgação ocorre enquanto a Deep Instinct revelou que o Protocolo Remoto COM Distribuído (DCOM), que permite que componentes de software se comuniquem por uma rede, poderia ser explorado para escrever remotamente payloads personalizadas para criar uma backdoor embutida.
O ataque "permite a escrita de DLLs personalizadas em uma máquina alvo, carregando-as em um serviço e executando sua funcionalidade com parâmetros arbitrários", disse o pesquisador de segurança Eliran Nissan.
"Este ataque semelhante a uma backdoor abusa da interface COM IMsiServer."
Dito isso, a empresa de cibersegurança israelense observou que um ataque desse tipo deixa indicadores claros de comprometimento (IoCs) que podem ser detectados e bloqueados.
Além disso, requer que as máquinas do atacante e da vítima estejam no mesmo domínio.
"Até agora, ataques de movimentação lateral DCOM foram exclusivamente pesquisados em objetos COM baseados em IDispatch devido à sua natureza scriptável", disse Nissan.
O novo método 'DCOM Upload & Execute' "escreve remotamente payloads personalizados no [Global Assembly Cache] da vítima, as executa de um contexto de serviço e se comunica com elas, funcionando efetivamente como uma backdoor embutida."
A pesquisa apresentada aqui prova que muitos objetos DCOM inesperados podem ser exploráveis para movimentação lateral, e defesas apropriadas devem ser alinhadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...