Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Perzistencia malvéru s pomocou Microsoft COM objektov

03.08.2018
Útočník dokáže získať perzistenciu a neviditeľnosť pre svoj malvér zneužitím fantómových COM objektov zaznamenaných v registroch ako dôveryhodné.

 

Dôsledky
Vykonanie ľubovoľného kódu s právami prihláseného používateľa, bez detekcie bezpečnostným softvérom.

Opis činnosti
Dva dôležité atribúty, ktoré musí útočník zabezpečiť pri nasadení malvéru, sú perzistancia a nedetekovateľnosť. Jednou z ciest je využitie Microsoft COM (Component Object Model) hijacking útoku. COM objekty sú spravované v registroch Windows a záznamy v registroch ostávajú aj po vymazaní súborov, na ktoré referujú. Útočník môže využiť tzv. fantóm COM objekt referujúci na už neexistujúci súbor a získať tak perzistenciu a používateľské privilégiá pre ľubovoľný kód. V registroch ostáva odkaz na takéto súbory, a keď už raz bolo ID COM objektu (CLSID) zaznamenané ako dôveryhodné, nasadený súbor unikne detekcii.

Výskumníci z firmy Cyberbit odhalili stovky zraniteľných klúčov Windows registrov a podarilo sa im pomocou nich bez problémov spustiť falošné DLL súbory v kontexte legitímnych aplikácií. Našli tiež viaceré dôkazy zneužitia týchto kľúčov. Predpokladajú, že zraniteľných kľúčov môžu byť tisíce.

Bezpečnostný softvér väčšinou nezaznamená COM hijacking kvôli veľkému množstvu legitímnych CLSID, ktorých množstvo neustále narastá.

Microsoft Component Object Model je štandard umožňujúci vytvárať softvérové komponenty, ktoré dokážu medzi sebou komunikovať nezávisle na svojej štruktúre, implementácii, či jazyku, v ktorom boli napísané. Je základom pre Microsoft OLE, ActiveX, Windows shell, DirectX, Windows Runtime a ďalšie technológie a frameworky.

Zraniteľné systémy
Všetky verzie Microsoft Windows

Závažnosť zraniteľnosti
Vysoká

Možné škody
Škodlivý softvér (Malware)

Odporúčania
Odporúča sa kontrolovať registre.

Odkazy
https://www.darkreading.com/threat-intelligence/hundreds-of-registry-keys-exposed-to-microsoft-com-hijacking/d/d-id/1332441
https://docs.microsoft.com/en-us/windows/desktop/com/the-component-object-model
https://en.wikipedia.org/wiki/Component_Object_Model
https://forums.malwarebytes.com/topic/234423-microsoft-com-hijacking/



<< zoznam oznámení