0 |
Новый способ взлома Windows — через уязвимость в Component Object Model компании Microsoft — обнаружили эксперты из Cyberbit.
Microsoft COM это кросс-платформенная, распределённая, объектно-ориентированная система для создания двоичных программных компонентов, которые могут взаимодействовать между собой. Эта технология составляет основу Microsoft OLE, обеспечивающей внедрение документов и других объектов, и ActiveX, программный фреймворк для контента, загружаемого по сети.
Методика взлома, открытая Cyberbit, заключается во внедрении кода с помощью объектов Phantom COM. Они используют идентификаторы объекта надёжного приложения и, поэтому, Windows воспринимает их как законные. Обойдя таким образом имеющиеся средства защиты, хакеры могут внедрить вредоносный код, инициирующий загрузку файлов и их выполнение операционной системой.
Концептуальная проверка этого метода специалистами Cyberbit показала, что он довольно прост в применении. Несмотря на то, что они стали первыми, кто формально описал этот метод, было зафиксировано несколько случаев его использования хакерами. По мнению исследователей, это неудивительно, принимая во внимание простоту метода и отсутствие у потенциальных объектов атаки информации об этой уязвимости.
«Наш маленький эксперимент увенчался тревожным успехом, — заключили они. — Мы обнаружили, что сотни ключей реестра уязвимы для взлома COM и загрузки объектов Phantom COM. Этот метод особенно опасен поскольку он работает с использованием законных пользовательских привилегий, часто не требует перезагрузки и может не иметь видимых побочных эффектов для пользователя».
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |