Een nieuw bedachte techniek maakt gebruik van een Windows-toegankelijkheidsframework genaamd UI-automatisering (UIA) om een breed scala aan kwaadaardige activiteiten uit te voeren zonder eindpuntdetectie- en responsoplossingen (EDR) te misleiden.
“Om deze techniek te kunnen exploiteren, moet een gebruiker overtuigd worden om een programma uit te voeren dat gebruik maakt van UI Automation”, zegt Akamai-beveiligingsonderzoeker Tomer Peled in een rapport gedeeld met The Hacker News. “Dit kan leiden tot heimelijke uitvoering van opdrachten, waardoor gevoelige gegevens kunnen worden verzameld, browsers kunnen worden omgeleid naar phishing-websites en meer.”
Erger nog, lokale aanvallers zouden misbruik kunnen maken van deze beveiligingsblinde vlek om opdrachten uit te voeren en berichten te lezen/schrijven van/naar berichtentoepassingen zoals Slack en WhatsApp. Bovendien zou het ook potentieel kunnen worden ingezet om UI-elementen via een netwerk te manipuleren.
UI Automation, voor het eerst beschikbaar in Windows XP als onderdeel van het Microsoft .NET Framework, is ontworpen om programmatische toegang te bieden tot verschillende elementen van de gebruikersinterface (UI) en om gebruikers te helpen deze te manipuleren met behulp van ondersteunende technologieproducten, zoals schermlezers. Het kan ook worden gebruikt in geautomatiseerde testscenario’s.
“Assistentietechnologietoepassingen hebben doorgaans toegang nodig tot de beschermde systeem-UI-elementen, of tot andere processen die mogelijk op een hoger privilegeniveau draaien”, merkt Microsoft op in een ondersteuningsdocument. “Daarom moeten ondersteunende technologietoepassingen door het systeem worden vertrouwd en met speciale rechten worden uitgevoerd.”
“Om toegang te krijgen tot hogere IL-processen, moet een ondersteunende technologietoepassing de UIAccess-vlag in het manifest van de toepassing instellen en worden gestart door een gebruiker met beheerdersrechten.”
De UI-interacties met elementen in andere applicaties worden bereikt door gebruik te maken van het Component Object Model (COM) als een inter-process communicatie (IPC) mechanisme. Dit maakt het mogelijk om UIA-objecten te maken die kunnen worden gebruikt om te communiceren met een applicatie die in focus is, door een gebeurtenishandler in te stellen die wordt geactiveerd wanneer bepaalde UI-wijzigingen worden gedetecteerd.
Uit Akamai’s onderzoek bleek dat deze aanpak ook een mogelijkheid voor misbruik zou kunnen openen, waardoor kwaadwillende actoren berichten kunnen lezen/schrijven, gegevens kunnen stelen die op websites zijn ingevoerd (bijvoorbeeld betalingsinformatie) en opdrachten kunnen uitvoeren die slachtoffers omleiden naar kwaadaardige websites wanneer een momenteel weergegeven webadres wordt weergegeven. pagina in een browser wordt vernieuwd of gewijzigd.
“Naast de UI-elementen die momenteel op het scherm worden weergegeven waarmee we kunnen communiceren, worden er van tevoren meer elementen geladen en in een cache geplaatst”, merkte Peled op. “We kunnen ook met die elementen communiceren, zoals het lezen van berichten die niet op het scherm worden weergegeven, of zelfs het tekstvak instellen en berichten verzenden zonder dat dit op het scherm wordt weergegeven.”
Dat gezegd hebbende, moet worden opgemerkt dat elk van deze kwaadaardige scenario’s een beoogde functie is van UI Automation, net zoals de Android-API voor toegankelijkheidsservices een belangrijke manier is geworden voor malware om informatie van gecompromitteerde apparaten te extraheren.
“Dit gaat terug naar het beoogde doel van de applicatie: deze machtigingsniveaus moeten bestaan om deze te kunnen gebruiken”, voegde Peled eraan toe. “Dit is de reden waarom UIA Defender kan omzeilen; de applicatie vindt niets ongewoons. Als iets wordt gezien als een functie in plaats van als een bug, zal de logica van de machine de functie volgen.”
Van COM tot DCOM: een aanvalsvector voor laterale bewegingen
De onthulling komt op het moment dat Deep Instinct onthulde dat het Distributed COM (DCOM) remote protocol, waarmee softwarecomponenten via een netwerk kunnen communiceren, kan worden misbruikt om op afstand aangepaste payloads te schrijven om een ingebedde achterdeur te creëren.
De aanval “maakt het mogelijk om aangepaste DLL’s naar een doelmachine te schrijven, deze in een service te laden en hun functionaliteit met willekeurige parameters uit te voeren”, aldus beveiligingsonderzoeker Eliran Nissan. “Deze achterdeurachtige aanval maakt misbruik van de IMsiServer COM-interface.”
Dat gezegd hebbende merkte het Israëlische cyberbeveiligingsbedrijf op dat een dergelijke aanval duidelijke indicatoren van compromissen (IoC’s) achterlaat die kunnen worden gedetecteerd en geblokkeerd. Het vereist verder dat de machines van de aanvaller en het slachtoffer zich in hetzelfde domein bevinden.
“Tot nu toe zijn DCOM-aanvallen met laterale bewegingen uitsluitend onderzocht op op IDispatch gebaseerde COM-objecten vanwege hun scriptbare aard”, aldus Nissan. De nieuwe ‘DCOM Upload & Execute’-methode “schrijft op afstand aangepaste payloads naar de (Global Assembly Cache) van het slachtoffer, voert ze uit vanuit een servicecontext en communiceert met ze, waardoor ze effectief functioneert als een ingebedde achterdeur.”
“Het hier gepresenteerde onderzoek bewijst dat veel onverwachte DCOM-objecten kunnen worden misbruikt voor zijwaartse beweging, en dat de juiste verdediging op één lijn moet worden gebracht.”
