Yeni geliştirilen bir teknik, Windows erişilebilirlik çerçevesinden yararlanıyor. Kullanıcı Arayüzü Otomasyonu (UIA) uç nokta algılama ve yanıt (EDR) çözümlerini etkilemeden çok çeşitli kötü amaçlı etkinlikleri gerçekleştirmek.
Akamai güvenlik araştırmacısı Tomer Peled, The Hacker News ile paylaşılan bir raporda “Bu teknikten yararlanmak için kullanıcının UI Otomasyonu kullanan bir programı çalıştırmaya ikna edilmesi gerekir” dedi. “Bu, hassas verileri toplayabilen, tarayıcıları kimlik avı web sitelerine yönlendirebilen ve daha fazlasına yol açabilen gizli komut yürütmeye yol açabilir.”
Daha da kötüsü, yerel saldırganlar, Slack ve WhatsApp gibi mesajlaşma uygulamalarından komutları yürütmek ve mesaj okumak/yazmak için bu güvenlik kör noktasından yararlanabilir. Bunun da ötesinde, bir ağ üzerinden kullanıcı arayüzü öğelerini manipüle etmek için potansiyel olarak silah haline getirilebilir.
İlk olarak Windows XP’de Microsoft .NET Framework’ün bir parçası olarak sunulan UI Automation, çeşitli kullanıcı arabirimi (UI) öğelerine programlı erişim sağlamak ve kullanıcıların ekran okuyucular gibi yardımcı teknoloji ürünlerini kullanarak bunları yönetmelerine yardımcı olmak için tasarlanmıştır. Otomatik test senaryolarında da kullanılabilir.
Microsoft, bir destek belgesinde “Yardımcı teknoloji uygulamalarının genellikle korumalı sistem kullanıcı arayüzü öğelerine veya daha yüksek ayrıcalık düzeyinde çalışan diğer işlemlere erişmesi gerekir” diyor. “Bu nedenle, yardımcı teknoloji uygulamalarına sistem tarafından güvenilmeli ve özel ayrıcalıklarla çalıştırılmalıdır.”
“Daha yüksek IL süreçlerine erişim elde etmek için, bir yardımcı teknoloji uygulamasının, uygulamanın bildiriminde UIAccess bayrağını ayarlaması ve yönetici ayrıcalıklarına sahip bir kullanıcı tarafından başlatılması gerekir.”
Diğer uygulamalardaki öğelerle kullanıcı arayüzü etkileşimleri, süreçler arası iletişim (IPC) mekanizması olarak Bileşen Nesne Modeli (COM) kullanılarak elde edilir. Bu, belirli kullanıcı arayüzü değişiklikleri algılandığında tetiklenen bir olay işleyicisi ayarlayarak, odaklanılan bir uygulamayla etkileşimde bulunmak için kullanılabilecek UIA nesneleri oluşturmayı mümkün kılar.
Akamai’nin araştırması, bu yaklaşımın kötü niyetli aktörlerin mesajları okumasına/yazmasına, web sitelerine girilen verileri (örn. ödeme bilgileri) çalmasına ve halihazırda görüntülenen bir web sitesi görüntülendiğinde kurbanları kötü amaçlı web sitelerine yönlendiren komutları yürütmesine olanak tanıyarak kötüye kullanım için bir yol açabileceğini buldu. tarayıcıdaki sayfa yenilenir veya değişir.
Peled, “Ekranda gösterilen ve etkileşimde bulunabileceğimiz kullanıcı arayüzü öğelerine ek olarak, daha fazla öğe önceden yükleniyor ve bir önbelleğe yerleştiriliyor.” dedi. “Ekranda gösterilmeyen mesajları okumak, hatta metin kutusunu ayarlamak ve ekrana yansımadan mesaj göndermek gibi öğelerle de etkileşime girebiliyoruz.”
Bununla birlikte, bu kötü niyetli senaryoların her birinin, tıpkı Android’in erişilebilirlik hizmetleri API’sinin, kötü amaçlı yazılımların güvenliği ihlal edilmiş cihazlardan bilgi ayıklamak için temel bir yol haline gelmesi gibi, UI Otomasyonunun amaçlanan bir özelliği olduğunu belirtmekte fayda var.
Peled, “Bu, uygulamanın amaçlanan amacına geri dönüyor: Uygulamayı kullanmak için bu izin seviyelerinin mevcut olması gerekiyor.” diye ekledi. “UIA’nın Defender’ı atlayabilmesinin nedeni budur; uygulama sıra dışı hiçbir şeyi bulamaz. Bir şey hata olarak değil de özellik olarak görülürse, makinenin mantığı bu özelliği takip edecektir.”
COM’dan DCOM’a: Yanal Hareketli Saldırı Vektörü
Açıklama, Deep Instinct’in, yazılım bileşenlerinin bir ağ üzerinden iletişim kurmasına olanak tanıyan Dağıtılmış COM (DCOM) uzak protokolünün, gömülü bir arka kapı oluşturmak amacıyla özel yükleri uzaktan yazmak için kullanılabileceğini ortaya çıkarmasıyla geldi.
Güvenlik araştırmacısı Eliran Nissan, saldırının “özel DLL’lerin hedef makineye yazılmasına, bunları bir hizmete yüklemesine ve isteğe bağlı parametrelerle işlevlerini yürütmesine izin verdiğini” söyledi. “Bu arka kapı benzeri saldırı, IMsiServer COM arayüzünü kötüye kullanıyor.”
Bununla birlikte İsrailli siber güvenlik şirketi, bu tür bir saldırının tespit edilebilecek ve engellenebilecek açık risk göstergeleri (IoC’ler) bıraktığını belirtti. Ayrıca saldırgan ve kurban makinelerin aynı etki alanında olmasını gerektirir.
Nissan, “Şu ana kadar DCOM yanal hareket saldırıları, komut dosyası oluşturulabilir doğaları nedeniyle yalnızca IDispatch tabanlı COM nesneleri üzerinde araştırıldı” dedi. Yeni ‘DCOM Yükleme ve Yürütme’ yöntemi “özel yükleri kurbanın bilgisayarına uzaktan yazar” [Global Assembly Cache]bunları bir hizmet bağlamından çalıştırır ve onlarla iletişim kurarak etkin bir şekilde yerleşik bir arka kapı işlevi görür.”
“Burada sunulan araştırma, birçok beklenmedik DCOM nesnesinin yanal hareket için kullanılabileceğini ve uygun savunmaların hizalanması gerektiğini kanıtlıyor.”