Teknik baru yang dirancang memanfaatkan kerangka aksesibilitas Windows yang disebut Otomatisasi UI (UIA) untuk melakukan berbagai aktivitas berbahaya tanpa memberikan solusi deteksi dan respons titik akhir (EDR).
“Untuk memanfaatkan teknik ini, pengguna harus diyakinkan untuk menjalankan program yang menggunakan Otomatisasi UI,” kata peneliti keamanan Akamai Tomer Peled dalam laporan yang dibagikan kepada The Hacker News. “Hal ini dapat menyebabkan eksekusi perintah secara diam-diam, yang dapat mengambil data sensitif, mengarahkan browser ke situs web phishing, dan banyak lagi.”
Lebih buruk lagi, penyerang lokal dapat memanfaatkan titik buta keamanan ini untuk menjalankan perintah dan membaca/menulis pesan dari/ke aplikasi perpesanan seperti Slack dan WhatsApp. Selain itu, hal ini juga berpotensi dijadikan senjata untuk memanipulasi elemen UI melalui jaringan.
Pertama kali tersedia di Windows XP sebagai bagian dari Microsoft .NET Framework, Otomatisasi UI dirancang untuk menyediakan akses terprogram ke berbagai elemen antarmuka pengguna (UI) dan membantu pengguna memanipulasinya menggunakan produk teknologi bantu, seperti pembaca layar. Ini juga dapat digunakan dalam skenario pengujian otomatis.
“Aplikasi teknologi pendukung biasanya memerlukan akses ke elemen UI sistem yang dilindungi, atau ke proses lain yang mungkin berjalan pada tingkat hak istimewa yang lebih tinggi,” catat Microsoft dalam dokumen dukungan. Oleh karena itu, aplikasi teknologi pendukung harus dipercaya oleh sistem, dan harus dijalankan dengan hak istimewa khusus.
“Untuk mendapatkan akses ke proses IL yang lebih tinggi, aplikasi teknologi bantu harus menyetel tanda UIAccess dalam manifes aplikasi dan diluncurkan oleh pengguna dengan hak istimewa administrator.”
Interaksi UI dengan elemen dalam aplikasi lain dicapai dengan memanfaatkan Component Object Model (COM) sebagai mekanisme komunikasi antar proses (IPC). Hal ini memungkinkan pembuatan objek UIA yang dapat digunakan untuk berinteraksi dengan aplikasi yang ada dalam fokus dengan menyiapkan pengendali peristiwa yang dipicu ketika perubahan UI tertentu terdeteksi.
Penelitian Akamai menemukan bahwa pendekatan ini juga dapat membuka jalan bagi penyalahgunaan, memungkinkan aktor jahat membaca/menulis pesan, mencuri data yang dimasukkan di situs web (misalnya, informasi pembayaran), dan menjalankan perintah yang mengarahkan korban ke situs web berbahaya ketika web sedang ditampilkan. halaman di browser disegarkan atau diubah.
“Selain elemen UI yang saat ini ditampilkan di layar yang dapat kita gunakan untuk berinteraksi, lebih banyak elemen yang dimuat terlebih dahulu dan ditempatkan di cache,” kata Peled. “Kita juga dapat berinteraksi dengan elemen-elemen tersebut, seperti membaca pesan yang tidak ditampilkan di layar, atau bahkan mengatur kotak teks dan mengirim pesan tanpa terlihat di layar.”
Meskipun demikian, perlu dicatat bahwa masing-masing skenario berbahaya ini merupakan fitur yang dimaksudkan dari Otomatisasi UI, sama seperti bagaimana API layanan aksesibilitas Android telah menjadi cara utama bagi malware untuk mengekstrak informasi dari perangkat yang disusupi.
“Ini kembali ke tujuan aplikasi: Tingkat izin tersebut harus ada agar dapat menggunakannya,” tambah Peled. “Inilah sebabnya UIA mampu melewati Defender — aplikasi tidak menemukan sesuatu yang luar biasa. Jika sesuatu dilihat sebagai fitur dan bukan bug, logika mesin akan mengikuti fitur tersebut.”
Dari COM ke DCOM: Vektor Serangan Gerakan Lateral
Pengungkapan ini terjadi ketika Deep Instinct mengungkapkan bahwa protokol jarak jauh Distributed COM (DCOM), yang memungkinkan komponen perangkat lunak berkomunikasi melalui jaringan, dapat dieksploitasi untuk menulis muatan khusus dari jarak jauh untuk membuat pintu belakang yang tertanam.
Serangan itu “memungkinkan penulisan DLL khusus ke mesin target, memuatnya ke layanan, dan menjalankan fungsinya dengan parameter sewenang-wenang,” kata peneliti keamanan Eliran Nissan. “Serangan seperti pintu belakang ini menyalahgunakan antarmuka IMsiServer COM.”
Meskipun demikian, perusahaan keamanan siber Israel mencatat bahwa serangan semacam ini meninggalkan indikator kompromi (IoC) yang jelas yang dapat dideteksi dan diblokir. Hal ini selanjutnya mengharuskan mesin penyerang dan korban berada di domain yang sama.
“Sampai saat ini, serangan gerakan lateral DCOM telah diteliti secara eksklusif pada objek COM berbasis IDispatch karena sifatnya yang dapat dituliskan,” kata Nissan. Metode 'DCOM Upload & Execute' yang baru “menulis muatan khusus dari jarak jauh ke milik korban [Global Assembly Cache]mengeksekusinya dari konteks layanan, dan berkomunikasi dengannya, yang secara efektif berfungsi sebagai pintu belakang yang tertanam.”
“Penelitian yang disajikan di sini membuktikan bahwa banyak objek DCOM yang tidak terduga mungkin dapat dieksploitasi untuk pergerakan lateral, dan pertahanan yang tepat harus diselaraskan.”
