Exploit en el Marco de Accesibilidad de Windows UI Automation
Una nueva técnica de malware ha sido identificada como capaz de eludir herramientas de detección y respuesta en endpoints (EDR), utilizando el marco de automatización de la interfaz de usuario (UI Automation) de Windows. Este marco, diseñado originalmente para facilitar el acceso a elementos de la interfaz a través de tecnologías de asistencia como lectores de pantalla, ha sido adaptado para realizar actividades maliciosas sin ser detectado.
Según Tomer Peled, investigador de seguridad de Akamai, el método requiere que el usuario de Windowsejecute un programa malicioso que explota esta funcionalidad:
“Esto puede permitir la ejecución sigilosa de comandos, el robo de datos sensibles, la redirección de navegadores a sitios de phishing y más.”
Amenazas Potenciales: Desde Mensajes Hasta Navegadores
El marco UI Automation utiliza el Modelo de Objeto de Componente (COM) para interactuar con aplicaciones en ejecución. Esto, aunque beneficioso para propósitos legítimos como pruebas automatizadas, también puede permitir a actores maliciosos:
- Leer y escribir mensajes en aplicaciones como Slack o WhatsApp.
- Robar información sensible ingresada en sitios web, como datos de pago.
- Redirigir a usuarios a páginas maliciosas durante la actualización o cambio de sitios web.
Además, debido a su capacidad para interactuar con elementos de UI cargados en caché pero no visibles en pantalla, los atacantes podrían realizar acciones no detectadas por el usuario.
¿Por Qué Defender No Lo Detecta?
La naturaleza del problema radica en que estas capacidades forman parte del diseño de UI Automation. Microsoft explica que este marco fue diseñado para permitir que aplicaciones de tecnología asistiva accedan a elementos protegidos del sistema. Para esto, dichas aplicaciones deben ejecutarse con privilegios especiales y ser confiables por el sistema operativo.
“La lógica del sistema lo interpreta como una característica, no como una amenaza. Por eso UIA puede evadir Defender; no ve nada fuera de lo ordinario,” señaló Peled.
Otra Vía de Ataque: Movimiento Lateral con DCOM
De forma paralela, la empresa de ciberseguridad Deep Instinct ha revelado un nuevo método para explotar el Protocolo de COM Distribuido (DCOM) para movimiento lateral en redes. Este ataque, denominado “DCOM Upload & Execute”, permite a los atacantes escribir cargas maliciosas personalizadas en la memoria caché del sistema de destino, convirtiendo a DCOM en una puerta trasera embebida.
El investigador Eliran Nissan explicó:
“Este ataque permite escribir DLLs personalizadas en una máquina objetivo, cargarlas en un servicio y ejecutarlas con parámetros arbitrarios.”
Aunque esta técnica deja claros Indicadores de Compromiso (IoCs) y requiere que las máquinas involucradas estén en el mismo dominio, abre una nueva superficie de ataque para explotaciones de movimiento lateral.
Recomendaciones para Mitigar Estas Amenazas
- Control de Privilegios: Limitar las aplicaciones con acceso al marco UI Automation a aquellas estrictamente necesarias.
- Monitorización de Eventos: Implementar herramientas que detecten interacciones anómalas con elementos de UI, incluso si provienen de procesos confiables.
- Análisis de IoCs: Identificar patrones de actividad sospechosa relacionados con DCOM y otras tecnologías de COM.
- Educación al Usuario: Asegurarse de que los usuarios no ejecuten aplicaciones desconocidas o sospechosas.
Las organizaciones deben adoptar un enfoque proactivo para fortalecer su seguridad frente a técnicas avanzadas que explotan funcionalidades legítimas como UI Automation y DCOM. La seguridad de los sistemas comienza con la prevención y un monitoreo constante de las actividades inusuales.