Описана новая техника внедрения кода в легитимные процессы Windows

Описана новая техника внедрения кода в легитимные процессы Windows

Метод PROPagate работает на всех недавних версиях операционной системы.

Исследователь безопасности, известный в Сети как Adam, раскрыл подробности о новой технике внедрения кода, получившей название PROPagate. Метод работает на всех недавних версиях операционной системы Windows и позволяет незаметно внедрить вредоносный код в приложения.

PROPagate предполагает использование функций служб управления API интерфейса Windows GUI (графический интерфейс пользователя, ГИП). Изначально исследование специалиста было сконцентрировано вокруг функций SetWindowSubclass API. Adam выяснил, что может проэксплуатировать свойства окна GUI (UxSubclassInfo и CC32SubclassInfo), используемые функцией SetWindowSubclass, для загрузки и исполнения вредоносного кода внутри других (легитимных) приложений. Как пояснил эксперт в интервью ресурсу Bleeping Computer, код может быть внедрен не во все процессы, а лишь в использующие элементы управления Windows GUI и популярные GUI-фреймворки.

«На самом деле, это нельзя считать ограничением, так как уязвимость распространяется на большинство популярных приложений, включая Windows Explorer», - добавил Adam.

Adam описал атаку в своем блоге две недели назад. Тогда он отметил, что смог использовать метод PROPagate для внедрения кода в «Windows Explorer, Total Commander, Process Hacker, Ollydbg и еще несколько приложений». Эксперт решил не публиковать PoC атаки в связи с соображениями безопасности. По словам исследователя, атака работает на версиях Windows XP и Windows 10, а также на 32- и 64-разрядных процессах.

Как пояснил Adam, его находка не представляет серьезной причины для беспокойства по сравнению с другими уязвимостями, позволяющими выполнить произвольный код или повысить привилегии на системе.

«Это техника обхода. Я не связывался с Microsoft, поскольку данная уязвимость не критическая и не позволяет повысить права, мне показалось, что не стоит о ней сообщать. Злоумышленник может выполнить атаку только в том случае, если система уже скомпрометирована», - отметил Adam.

Даже если бы исследователь сообщил Microsoft о проблеме, компания, скорее всего, отреагировала так же, как и в случае с командой enSilo, раскрывшей информацию о похожей технике внедрения кода под названием AtomBombing. Тогда производитель отказался рассматривать уязвимость как проблему безопасности. Тем не менее, спустя несколько месяцев после сообщения, техникой AtomBombing пополнился арсенал банковского трояна Dridex, которую он использовал для внедрения вредоносного кода в легитимные приложения на зараженных компьютерах.

 

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!