Nowy wektor ataku wykorzystujący system automatyzacji interfejsu użytkownika w Windows
W ostatnim czasie odkryto nową technikę, która wykorzystuje ramy dostępności Windows o nazwie UI Automation (UIA), umożliwiając przeprowadzanie różnorodnych działań o charakterze złośliwym bez wzbudzania podejrzeń systemów wykrywających zagrożenia (EDR). Technika ta może stać się nie tylko narzędziem w rękach cyberprzestępców, ale także wyzwaniem dla producentów oprogramowania zabezpieczającego.
Według badacza bezpieczeństwa z firmy Akamai, Tomera Peleda, kluczowym czynnikiem umożliwiającym wykorzystanie tej metody jest przekonanie użytkownika do uruchomienia programu korzystającego z funkcji UI Automation. „Dzięki temu możliwe jest potajemne wykonywanie poleceń, które mogą zbierać wrażliwe dane, przekierowywać przeglądarki na strony phishingowe i wiele więcej” – ostrzegł w swoim raporcie.
Ukryte zagrożenia w funkcjonalności systemu Windows
UI Automation to technologia wprowadzona w systemie Windows XP jako część platformy Microsoft .NET Framework. Jej pierwotnym celem było zapewnienie programistycznego dostępu do elementów interfejsu użytkownika oraz umożliwienie ich manipulacji za pomocą technologii wspomagających, takich jak czytniki ekranu. Co więcej, UI Automation znalazło zastosowanie w scenariuszach automatycznego testowania aplikacji.
Jednakże, jak zauważyli badacze, system ten może być również wykorzystywany w celach złośliwych. Lokalne ataki mogą pozwolić cyberprzestępcom na wykonywanie poleceń oraz odczytywanie i zapisywanie wiadomości w aplikacjach takich jak Slack czy WhatsApp. Potencjalnie istnieje również możliwość manipulowania elementami interfejsu użytkownika za pośrednictwem sieci.
Niebezpieczne możliwości automatyzacji
Interakcje z elementami interfejsu użytkownika w innych aplikacjach są realizowane dzięki wykorzystaniu mechanizmu komunikacji międzyprocesowej (IPC) opartego na Modelu Obiektów Komponentowych (COM). Dzięki temu można tworzyć obiekty UIA, które umożliwiają manipulację aplikacjami znajdującymi się w centrum uwagi użytkownika. Przykładowo, można skonfigurować obsługę zdarzeń wywoływanych w momencie wykrycia zmian w interfejsie użytkownika.
Badania przeprowadzone przez Akamai wykazały, że technologia ta może być używana do odczytywania i zapisywania danych z komunikatorów, kradzieży informacji wprowadzanych na stronach internetowych (np. danych płatniczych), a nawet do przekierowywania użytkowników na złośliwe strony internetowe. Ponadto, UI Automation pozwala na interakcję z elementami interfejsu, które mogą znajdować się poza widokiem użytkownika, co dodatkowo zwiększa potencjalne zagrożenie.
Funkcje systemu czy zagrożenie?
Warto podkreślić, że wszystkie wymienione scenariusze wykorzystania UI Automation są zgodne z zamierzonymi funkcjami tej technologii. Podobnie jak API usług dostępności w systemie Android, UIA zostało zaprojektowane z myślą o ułatwianiu dostępu i automatyzacji, jednak cyberprzestępcy potrafią skutecznie wykorzystywać te funkcje w złośliwych celach.
„Te poziomy uprawnień muszą istnieć, aby technologia mogła działać zgodnie z przeznaczeniem” – zauważa Peled. „To właśnie dlatego UIA potrafi obejść zabezpieczenia Defendera – system nie widzi niczego podejrzanego, ponieważ wszystko wygląda jak standardowa funkcja.”
Nowe zagrożenie: ataki lateralne z wykorzystaniem DCOM
Równolegle z ujawnieniem zagrożeń związanych z UI Automation, firma Deep Instinct zauważyła ryzyko wykorzystania Distributed COM (DCOM) jako wektora ataku lateralnego. Protokół DCOM umożliwia komunikację komponentów oprogramowania przez sieć i może być wykorzystany do zdalnego przesyłania oraz uruchamiania złośliwego kodu na zainfekowanych urządzeniach.
Według badacza bezpieczeństwa Elirana Nissana, metoda określana jako „DCOM Upload & Execute” pozwala na zdalne przesyłanie niestandardowych bibliotek DLL do wybranego urządzenia, ładowanie ich do usług systemowych oraz wykonywanie ich funkcji z dowolnymi parametrami. Chociaż ten rodzaj ataku pozostawia wyraźne ślady (wskaźniki kompromitacji), a atakujący i ofiara muszą znajdować się w tej samej domenie, ryzyko nadal jest znaczące.
Jak przeciwdziałać zagrożeniom?
Ochrona przed zagrożeniami związanymi z UI Automation i DCOM wymaga odpowiedniej konfiguracji systemów zabezpieczeń oraz regularnych aktualizacji oprogramowania. Warto, aby użytkownicy i administratorzy systemów byli świadomi potencjalnych ryzyk oraz ostrożnie podchodzili do uruchamiania nieznanych aplikacji. Rozwiązania zabezpieczające powinny zostać dostosowane do wykrywania nieautoryzowanych działań w obrębie tych technologii.
Pomimo że technologia UI Automation oraz DCOM zostały stworzone z myślą o ułatwianiu pracy użytkownikom, ich niewłaściwe wykorzystanie może prowadzić do poważnych naruszeń bezpieczeństwa. Świadomość zagrożeń oraz odpowiednie środki ochrony są kluczowe w zapobieganiu potencjalnym atakom.