Veiligheidsonderzoekers bij Cyberbit hebben een nieuwe manier ontdekt waarop hackers Windows-apparaten kunnen overnemen. Daarvoor misbruiken ze een kwetsbaarheid in het Component Object Model (COM) van Microsoft. De hackers injecteren daar code in, waarna ze malware op de Windows-apparaten kunnen plaatsen.
Het gaat volgens Cyberbit om een vrij eenvoudige techniek, waarbij registersleutels gebruikt worden. Windows denkt daardoor dat het om legitieme COM-objecten gaat, en staat ze daardoor toe om processen te draaien op het betreffende apparaat. Dat stelt de hackers ertoe in staat om malware naar apparaten te uploaden en te draaien.
Het Component Object Model
Het Component Object Model is een platform-onafhankelijk, gedistribueerd systeem dat binaire softwarecomponenten maakt, die interactie met elkaar kunnen hebben. Ze vormen de basis voor Microsofts OLE-technologie, die het mogelijk maakt dat embedden en het linken naar documenten en andere objecten mogelijk is. Ook maakt het ActiveX, een framework voor content die van netwerken gedownload wordt, mogelijk.
Het is volgens de onderzoekers voor het eerst dat deze techniek gebruikt wordt. Desondanks hebben ze al verschillende voorbeelden gevonden, waarin het in de praktijk toegepast wordt. Tegelijk zijn het niet zoveel voorbeelden als ze verwacht hadden, “gezien de eenvoud waarmee deze technieken gebruikt kunnen worden, en het gebrek aan veiligheidsbewustzijn voor dit risico.”
De onderzoekers melden dat het experiment hiermee enigszins zorgwekkend verliep. “We ontdekten dat honderden registersleutels kwetsbaar zijn”, stellen ze volgens de site Silicon Angle. “Het proces is heel eenvoudig uit te voeren en vereist geen verfijndheid, of code-injectie die zichtbaar is voor de meeste detectieplatformen.”
Overigens stellen de onderzoekers dat veiligheidsplatformen simpelweg COM-zoekopdrachten in de gaten moeten houden en moeten controleren welke objecten er geladen worden.
13 uur geleden
