Goodnews.ua


Описана новая техника внедрения кода в легитимные процессы Windows

Ноябрь 09
08:30 2017

Описана новая техника внедрения кода в легитимные процессы Windows

Исследователь безопасности, известный в Сети как Adam, раскрыл подробности о новой технике внедрения кода, получившей название PROPagate. Метод работает на всех недавних версиях операционной системы Windows и позволяет незаметно внедрить вредоносный код в приложения.
PROPagate предполагает использование функций служб управления API интерфейса Windows GUI (графический интерфейс пользователя, ГИП). Изначально исследование специалиста было сконцентрировано вокруг функций SetWindowSubclass API. Adam выяснил, что может проэксплуатировать свойства окна GUI (UxSubclassInfo и CC32SubclassInfo), используемые функцией SetWindowSubclass, для загрузки и исполнения вредоносного кода внутри других (легитимных) приложений. Как пояснил эксперт в интервью ресурсу Bleeping Computer, код может быть внедрен не во все процессы, а лишь в использующие элементы управления Windows GUI и популярные GUI-фреймворки.
«На самом деле, это нельзя считать ограничением, так как уязвимость распространяется на большинство популярных приложений, включая Windows Explorer», — добавил Adam.
Adam описал атаку в своем блоге две недели назад. Тогда он отметил, что смог использовать метод PROPagate для внедрения кода в «Windows Explorer, Total Commander, Process Hacker, Ollydbg и еще несколько приложений». Эксперт решил не публиковать PoC атаки в связи с соображениями безопасности. По словам исследователя, атака работает на версиях Windows XP и Windows 10, а также на 32- и 64-разрядных процессах.
Как пояснил Adam, его находка не представляет серьезной причины для беспокойства по сравнению с другими уязвимостями, позволяющими выполнить произвольный код или повысить привилегии на системе.
«Это техника обхода. Я не связывался с Microsoft, поскольку данная уязвимость не критическая и не позволяет повысить права, мне показалось, что не стоит о ней сообщать. Злоумышленник может выполнить атаку только в том случае, если система уже скомпрометирована», — отметил Adam.
Даже если бы исследователь сообщил Microsoft о проблеме, компания, скорее всего, отреагировала так же, как и в случае с командой enSilo, раскрывшей информацию о похожей технике внедрения кода под названием AtomBombing. Тогда производитель отказался рассматривать уязвимость как проблему безопасности. Тем не менее, спустя несколько месяцев после сообщения, техникой AtomBombing пополнился арсенал банковского трояна Dridex, которую он использовал для внедрения вредоносного кода в легитимные приложения на зараженных компьютерах.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Україна не збирається створювати ядерну зброю — МЗС

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua