Новости Windows UI Automation: когда штатные функции системы превращаются в оружие киберпреступников

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Исследователи обнаружили тайный цифровой лаз, о котором даже не подозревают пользователи.


ts3cxq9zpg1d2ymo41l0mvuofhirxah3.jpg


Исследователи из компании Akamai Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники начали эксплуатировать встроенный в Windows фреймворк UI Automation ( UIA ), предназначенный для работы с элементами пользовательского интерфейса, чтобы скрытно выполнять вредоносные действия. Эта техника позволяет обходить системы обнаружения угроз, такие как EDR.

UIA, изначально внедрённый ещё в Windows XP в составе .NET Framework, разработан для помощи пользователям с ограниченными возможностями и автоматизированного тестирования. Однако его возможности предоставляют злоумышленникам доступ к данным, перенаправление браузеров на фишинговые сайты и выполнение скрытых команд.

По данным исследователей, чтобы использовать эту технику, жертву нужно лишь убедить запустить специальную программу, использующую UI Automation. Это позволяет злоумышленникам взаимодействовать с элементами интерфейса других приложений, перехватывать сообщения из мессенджеров и даже отправлять их без отображения на экране.

Особенность UI Automation в том, что данный фреймворк взаимодействует с элементами интерфейса через механизм IPC Component Object Model (COM). Это даёт возможность манипулировать интерфейсом приложений в фокусе. При этом разрешения и привилегии, предоставляемые UIA, считаются штатными функциями системы.

Специалисты также отметили, что благодаря заранее загруженным элементам интерфейса в кэш злоумышленники могут перехватывать невидимые на экране сообщения и даже отправлять текст без отображения изменений в интерфейсе. Эти возможности делают технику особенно опасной для корпоративных приложений, таких как Slack и WhatsApp.

Каждый из описанных сценариев, по сути, является нормальной функциональностью UI Automation, отмечают исследователи. Microsoft подчёркивает, что приложения, использующие UIA, должны обладать специальными привилегиями. Однако хакеры с лёгкостью обходят эти ограничения в своих атаках, используя фреймворк во вред.

Эта техника напоминает схему атак с использованием API служб специальных возможностей Android, которые часто применяются для кражи данных на заражённых устройствах. Основная проблема заключается в том, что в случае с Windows системы защиты распознают действия UIA как штатные функции, а не как угрозу.

Эксплуатация UI Automation демонстрирует, как стандартные функции ОС могут быть использованы для скрытного выполнения атак, оставаясь невидимыми для антивирусов. Специалисты рекомендуют повышенное внимание к таким механизмам и ограничение их использования на корпоративных устройствах.
 
Источник новости
www.securitylab.ru

Похожие темы