Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Neue Malware nutzt Windows UI-Framework zur Umgehung von EDR-Tools

Eine neu entwickelte Angriffstechnik missbraucht das Windows-Framework für Barrierefreiheit, bekannt als UI-Automatisierung (UIA), um unbemerkt verschiedene bösartige Aktivitäten durchzuführen. Dabei bleibt sie für Sicherheitslösungen wie Endpoint Detection and Response (EDR) weitgehend unsichtbar.

Lesezeit 4 Min.

Tomer Peled, Sicherheitsexperte bei Akamai, erklärt in einem Bericht, dass diese Angriffstechnik davon abhängt, einen Benutzer dazu zu bringen, ein Programm auszuführen, das UI-Automation verwendet. Sobald dies geschieht, können Angreifer Befehle unbemerkt ausführen, sensible Daten abfangen oder den Browser auf Phishing-Websites umleiten.

Besonders gefährlich ist, dass lokale Angreifer über die Sicherheitslücke auch Befehle ausführen oder Nachrichten in Messaging-Anwendungen wie Slack und WhatsApp lesen und schreiben können. Zudem lässt sich die Technik verwenden, um Oberflächenelemente über ein Netzwerk zu manipulieren, was zusätzliche Angriffswege eröffnet.

Was ist UI-Automatisierung (UIA)?

Die UI-Automatisierung wurde ursprünglich in Windows XP als Teil des Microsoft .NET Framework eingeführt. Sie ermöglicht Anwendungen den programmgesteuerten Zugriff auf Elemente der Benutzeroberfläche. Dieses Feature wurde entwickelt, um Menschen mit Behinderungen zu unterstützen, indem es Werkzeuge wie Bildschirmlesegeräte erlaubt, mit der Benutzeroberfläche zu interagieren.

Ferner wird UIA häufig in automatisierten Testszenarien eingesetzt, um die Benutzeroberfläche von Programmen zu prüfen.

Wie funktioniert der Missbrauch?

Microsoft beschreibt, dass Anwendungen für unterstützende Technologien spezielle Berechtigungen benötigen, um auf geschützte UI-Elemente oder Prozesse mit höheren Berechtigungen zuzugreifen. Dies wird durch das UIAccess-Flag ermöglicht, das im Manifest der Anwendung gesetzt und von einem Administrator gestartet werden muss.

Die Interaktion mit anderen Anwendungen wird mithilfe des Component Object Models (COM) realisiert. Dadurch können UIA-Objekte erstellt werden, die mit einer gerade aktiven Anwendung interagieren. Dies geschieht, indem ein Ereignis-Handler eingerichtet wird, der bei bestimmten Änderungen in der Benutzeroberfläche ausgelöst wird.

Die Untersuchungen von Akamai zeigen, dass die UI-Automatisierung erhebliche Missbrauchsmöglichkeiten bietet. Angreifer können damit:

  • Nachrichten lesen und schreiben,
  • Daten von Websites abgreifen, etwa Zahlungsinformationen,
  • Opfer auf bösartige Websites umleiten, indem sie die Darstellung von Webseiten im Browser manipulieren.

„Zusätzlich zu den UI-Elementen, die gerade auf dem Bildschirm angezeigt werden, lädt die UI-Automatisierung weitere Elemente vor und speichert sie in einem Cache. Dadurch können wir auch auf nicht sichtbare Inhalte zugreifen, etwa ungelesene Nachrichten oder Textfelder bearbeiten und Nachrichten versenden, ohne dass dies am Bildschirm sichtbar ist“, so Peled.

Diese Angriffsmethoden beruhen auf der beabsichtigten Funktionsweise der UI-Automatisierung, ähnlich wie die Accessibility-APIs von Android, die häufig von Malware genutzt werden, um Daten von Geräten zu stehlen.

Peled weiter: „Das Problem liegt im Design. Die hohen Berechtigungsstufen sind notwendig, um die UI-Automatisierung zu nutzen. Da diese Aktionen als normale Funktionen und nicht als Fehler angesehen werden, bleibt der Angriff für Sicherheitslösungen wie den Windows Defender unsichtbar. Der Rechner folgt der Logik der Funktion und erkennt darin nichts Ungewöhnliches.“

Diese Schwachstelle zeigt, wie leicht böswillige Akteure legitime Barrierefreiheitsfunktionen zweckentfremden können, um Daten zu stehlen oder schädliche Aktionen durchzuführen. Diese Technik macht sich die Vertrauensstellung von Anwendungen für unterstützende Technologien zunutze, um Angriffe durchzuführen, die für den Benutzer unsichtbar bleiben.

Von COM zu DCOM: Ein Angriffsvektor mit seitlicher Bewegung

Deep Instinct hat kurz vor dieser Entdeckung aufgezeigt, dass das Distributed COM (DCOM) Remote Protocol, das Softwarekomponenten die Kommunikation über Netzwerke ermöglicht, missbraucht werden kann, um bösartige Nutzdaten aus der Ferne auf Zielsystemen zu platzieren und eine Hintertür zu erstellen.

Laut Eliran Nissan, Sicherheitsforscher bei Deep Instinct, ermöglicht der Angriff das Schreiben benutzerdefinierter DLLs auf einen Zielrechner, deren Laden in einen Dienst sowie die Ausführung mit beliebigen Parametern. Dies geschieht durch die Manipulation der IMsiServer COM-Schnittstelle, die ursprünglich für legitime Zwecke entwickelt wurde.

Das israelische Cybersicherheitsunternehmen betont jedoch, dass ein solcher Angriff deutliche Spuren hinterlässt, sogenannte Indikatoren für eine Kompromittierung (IoCs), die erkannt und blockiert werden können. Zudem müssen sich der Angreifer und das Zielsystem in derselben Domäne befinden.

Nissan erläutert, dass DCOM-Angriffe mit seitlichen Bewegungen bisher nur auf IDispatch-basierten COM-Objekten untersucht wurden, da diese leicht skriptgesteuert werden können. Die neue Methode namens „DCOM Upload & Execute“ ermöglicht es jedoch, bösartige Nutzdaten aus der Ferne in den Global Assembly Cache des Zielsystems zu schreiben, diese aus dem Kontext eines Dienstes auszuführen und damit zu kommunizieren. So entsteht eine eingebettete Hintertür, die unbemerkt genutzt werden kann.

„Die Untersuchung zeigt, dass viele bisher unerwartete DCOM-Objekte für seitliche Bewegungen missbraucht werden können“, so Nissan. Dies unterstreicht die Notwendigkeit, geeignete Abwehrmaßnahmen zu entwickeln, um diesen neuen Angriffspfad frühzeitig zu erkennen und zu stoppen.

Der DCOM-Angriff verdeutlicht die potenziellen Risiken eines vermeintlich harmlosen Protokolls. Die neue Technik ermöglicht nicht nur seitliche Bewegungen im Netzwerk, sondern auch die Erstellung von persistenten Hintertüren. Unternehmen sollten diese Schwachstelle ernst nehmen, IoCs aktiv überwachen und ihre Sicherheitsmaßnahmen entsprechend anpassen, um solche Angriffe zu verhindern.

Diesen Beitrag teilen: