Виявлена нова атака класу “впровадження коду” на ОС Windows


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

Дослідникові з питань безпеки компанії Hexacorn, відомому під ніком Аdam, вдалося створити новий механізм впровадження коду, що працює на всіх останніх версіях Windows. Виявлена вразливість дозволяє хакерам непомітно впроваджувати шкідливий код у різні додатки через загальні властивості функцій і API управління графічним призначеним для користувача інтерфейсом Windows. Розроблений метод набув назви PROPagate.

Джерело вразливості

Дослідження Адама спочатку було сфокусовано на SetWindowSubclass API, функції ОС Windows, що управляє графічними вікнами додатків у батьківському процесі.

Фахівець з безпеки виявив, що може використати доступні графічні властивості вікна (UxSubclassInfo і CC32SubclassInfo), якими оперує функція SetWindowSubclass, щоб завантажити і запустити шкідливий код в інших програмах.

Під загрозою знаходяться тільки процеси, що використовують елементи управління Windows GUI і популярні GUI-фреймворки. Проте це зовсім не обмеження: виявлений баг стосується великої частини популярних програм, включаючи і Windows Explorer – улюблену мішень для хакерських атак.

Якими є Ваші докази?

В опублікованому два тижні тому посту з детальним описом механізму PROPagate Адам розповів про здійснені атаки PROPagate на “Windows Explorer, Total Commander, Process Hacker, Ollydbg і ще на декілька інших програм”.

Начерк шкідливої програми, який Адам відмовився викладати в Мережу з очевидних причин, однаково ефективно працював на Windows XP і Windows 10.

У наступному дослідженні, опублікованому попередньої п’ятниці, експерт також розповів, що з невеликими модифікаціями код PROPagate працює на 32- і 64-бітових версіях ОС Windows.

Сильно хвилюватися не варто

На цьому етапі розроблений механізм не становить особливої небезпеки, оскільки для його використання необхідно вже мати якийсь запущений шкідливий код у системі, що дуже скрутно. За словами розробника PROPagate, Windows швидше за все не стане розглядати знайдену вразливість як баг. Проте її можна використати для серйозних атак, за аналогією з нещодавньою вразливістю AtomBombing.

Джерело: Bleeping Computer

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *