Ресерчеры Akamai выкатили отчет в отношении новой вредоносной технологии, которая задействует службу специальных возможностей Windows под названием UI Automation (UIA) для выполнения широкого спектра вредоносных действий и обхода инструментов EDR. Для реализации метода пользователя необходимо убедить запустить программу, которая использует UI Automation. Это может привести к скрытому выполнению команд, которые могут собирать конфиденциальные данные, перенаправлять браузеры на фишинговые веб-сайты и многое другое. Хуже того, локальные злоумышленники могут воспользоваться пробелом в безопасности для выполнения команд и чтения/записи сообщений из/в приложения обмена сообщениями, такие как Slack и WhatsApp. Кроме того, его также можно потенциально использовать в качестве оружия для манипулирования элементами пользовательского интерфейса по сети. Впервые появившая в Windows XP как компонент Microsoft .NET Framework, UI Automation предназначена для программного доступа к различным элементам пользовательского интерфейса (UI) и помощи пользователям в управлении ими с помощью вспомогательных технологических продуктов. Приложения вспомогательных технологий обычно нуждаются в доступе к защищенным элементам пользовательского интерфейса системы или к другим процессам, которые могут выполняться на более высоком уровне привилегий Поэтому приложения вспомогательных технологий должны быть доверенными для системы и должны работать с особыми привилегиями. Чтобы получить доступ к процессам более высокого IL, приложение должно установить флаг UIAccess в манифесте приложения и запускаться пользователем с правами администратора. Взаимодействие пользовательского интерфейса с элементами других приложений достигается за счет использования модели компонентных объектов (COM) в качестве механизма межпроцессного взаимодействия (IPC). Это позволяет создавать объекты UIA, которые можно использовать для взаимодействия с приложением путем настройки обработчика событий, который запускается при обнаружении определенных изменений пользовательского интерфейса. Исследование Akamai показало, что такой подход также может открыть путь для злоупотреблений, позволяя злоумышленникам читать/писать сообщения, красть данные, введенные на сайтах (например, платежную информацию), и выполнять команды, которые перенаправляют жертв на вредоносные сайты. Тем не менее, следует отметить, что каждый из вредоносных сценариев является запланированной функцией UI Automation, точно так же, как API служб специальных возможностей Android, который стал основным способом извлечения вредоносным ПО информации из взломанных устройств. Полный обзор возможностей использования фреймворка UI Automation и PoC для каждого вектора злоупотреблений - в отчете.