avatar it-technology

it-technology



подробнее...

Следить за персональным блогом

Автоматизированная система Промышленная безопасность и охрана труда

Обновления главной ленты блогов
Вконтакте Facebook Twitter RSS Почта Livejournal
Внимание

На нашем портале можно бесплатно публиковать информацию о своей компании, размещать товары и услуги и цены на них.
Ведите свой личный или корпоративный блог и его ежедневно увидят 30 тысяч посетителей нашего сайта.

13 ноября 2017, 10:46

Обнаружена новая атака класса «внедрение кода» на ОС Windows


Уязвимость получила название PROPagate и сама по себе безвредна.

Логотип PROPagate

Исследователю по вопросам безопасности компании Hexacorn, известному под ником Аdam, удалось создать новый механизм внедрения кода, работающий на всех последних версиях Windows. Обнаруженная уязвимость позволяет хакерам незаметно внедрять вредоносный код в различные приложения через общие свойства функций и API управления графическим пользовательским интерфейсом Windows. Разработанный метод получил название PROPagate.

Источник уязвимости

Исследование Адама изначально было сфокуировано на SetWindowSubclass API, функции ОС Windows, управляющую графическими окнами приложений в родительском процессе.

Специалист по безопасности обнаружил, что может использовать доступные графические свойства окна (UxSubclassInfo и CC32SubclassInfo), которыми оперирует функция SetWindowSubclass, чтобы загрузить и запустить зловредный код в других программах.

Под угрозой находятся только процессы, использующие элементы управления Windows GUI и популярные GUI-фреймворки. Однако это вовсе не ограничение: обнаруженный баг затрагивает большую часть популярных программ, включая и Windows Explorer — излюбленную мишень для хакерских атак.

Какие ваши доказательства?

В опубликованном две недели назад посте с детальным описанием механизма PROPagate Адам рассказал об осуществленных атаках PROPagate на «Windows Explorer, Total Commander, Process Hacker, Ollydbg и еще несколько других программ».

Набросок вредоносной программы, который Адам отказался выкладывать в Сеть по очевидным причинам, одинаково эффективно работал на Windows XP и Windows 10.

PROPagate в Windows XP

PROPagate в Windows 10

В следующем исследовании, опубликованном в прошедшую пятницу, эксперт также рассказал, что с небольшими модификациями код PROPagate работает на 32- и 64-битных версиях ОС Windows.

Сильно волноваться не стоит

На данном этапе разработанный механизм не представляет особой опасности, так как для его использования необходимо уже иметь какой-то запущенный зловредный код в системе, что весьма затруднительно. По словам разработчика PROPagate, Windows скорее всего не станет рассматривать найденную уязвимость как баг. Однако её можно использовать для серьёзных атак, по аналогии с недавней уязвимостью AtomBombing.

Источник: https://tproger.ru/news/propagate-new-code-injection/