Windows UI keretrendszer kihasználása
Egy újonnan kifejlesztett technika a Windows UI Automation (UIA) keretrendszerét használja ki a rosszindulatú tevékenységek elvégzésére anélkül, hogy az EDR megoldások észlelnék azt. „A technika kihasználásához a felhasználót meg kell győzni arról, hogy futtasson egy olyan programot, amely az UI Automation-t használja” – mondta Tomer Peled, az Akamai biztonsági kutatója. Ez rejtett parancsfuttatáshoz vezethet, amellyel többek között érzékeny adatokat lehet gyűjteni vagy át lehet irányítani a böngészőket adathalász weboldalakra. Ez kihasználható parancsokat végrehajtására is, és így például üzeneteket olvasására, írására olyan üzenetküldő alkalmazásokban, mint a Slack és a WhatsApp. Ez a technika minden Windows XP vagy annál magasabb operációs rendszerrel futó végponton kihasználható. Az először a Windows XP-ben a Microsoft .NET keretrendszer részeként elérhető UI-automatizálás célja, hogy programozott hozzáférést biztosítson a különböző felhasználói felület (UI) elemekhez, és segítse a felhasználókat. Ennek a technikának a felderítése több szempontból is kihívást jelent, többek között az EDR-ek számára is. Az összes EDR technológia, amelyet ezzel a technikával szemben teszteltek, nem azonosított semmilyen rosszindulatú tevékenységet.
Az Akamai blogbejegyzése teljes leírást ad arról, hogyan lehet az UI Automation keretrendszert kihasználni (beleértve a lehetséges támadásokat), és bemutat egy PoC-t minden egyes általuk tárgyalt visszaélési vektorhoz. Emellett felderítési és elhárítási lehetőségeket is felsorolnak a kutatók.
