Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Ukážka forenznej analýzy pamäte RAM
Tlačové správy
13.08.2018
Mesačný prehľad za mesiac júl 2018
Tlačové správy
01.08.2018
Mesačný prehľad za mesiac jún 2018
Tlačové správy
03.07.2018
Foreign Sources
US CERT - vulnerabilities


ICS CERT - alerts
Meltdown and Spectre Vulnerabilities (Update H)


ICS CERT - advisories
Philips PageWriter TC10, TC20, TC30, TC50, and TC70 Cardiographs
16.08.2018
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Perzistencia malvéru s pomocou Microsoft COM objektov

03.08.2018
Útočník dokáže získať perzistenciu a neviditeľnosť pre svoj malvér zneužitím fantómových COM objektov zaznamenaných v registroch ako dôveryhodné.

 

Dôsledky
Vykonanie ľubovoľného kódu s právami prihláseného používateľa, bez detekcie bezpečnostným softvérom.

Opis činnosti
Dva dôležité atribúty, ktoré musí útočník zabezpečiť pri nasadení malvéru, sú perzistancia a nedetekovateľnosť. Jednou z ciest je využitie Microsoft COM (Component Object Model) hijacking útoku. COM objekty sú spravované v registroch Windows a záznamy v registroch ostávajú aj po vymazaní súborov, na ktoré referujú. Útočník môže využiť tzv. fantóm COM objekt referujúci na už neexistujúci súbor a získať tak perzistenciu a používateľské privilégiá pre ľubovoľný kód. V registroch ostáva odkaz na takéto súbory, a keď už raz bolo ID COM objektu (CLSID) zaznamenané ako dôveryhodné, nasadený súbor unikne detekcii.

Výskumníci z firmy Cyberbit odhalili stovky zraniteľných klúčov Windows registrov a podarilo sa im pomocou nich bez problémov spustiť falošné DLL súbory v kontexte legitímnych aplikácií. Našli tiež viaceré dôkazy zneužitia týchto kľúčov. Predpokladajú, že zraniteľných kľúčov môžu byť tisíce.

Bezpečnostný softvér väčšinou nezaznamená COM hijacking kvôli veľkému množstvu legitímnych CLSID, ktorých množstvo neustále narastá.

Microsoft Component Object Model je štandard umožňujúci vytvárať softvérové komponenty, ktoré dokážu medzi sebou komunikovať nezávisle na svojej štruktúre, implementácii, či jazyku, v ktorom boli napísané. Je základom pre Microsoft OLE, ActiveX, Windows shell, DirectX, Windows Runtime a ďalšie technológie a frameworky.

Zraniteľné systémy
Všetky verzie Microsoft Windows

Závažnosť zraniteľnosti
Vysoká

Možné škody
Škodlivý softvér (Malware)

Odporúčania
Odporúča sa kontrolovať registre.

Odkazy
https://www.darkreading.com/threat-intelligence/hundreds-of-registry-keys-exposed-to-microsoft-com-hijacking/d/d-id/1332441
https://docs.microsoft.com/en-us/windows/desktop/com/the-component-object-model
https://en.wikipedia.org/wiki/Component_Object_Model
https://forums.malwarebytes.com/topic/234423-microsoft-com-hijacking/



<< zoznam oznámení