Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Złośliwe makro MS Office może uzyskać absolutne pełne uprawnienia w Windows (wykonanie kodu na poziomie jądra OS, wykorzystanie buga w sterowniku).
Ktoś postanowił wykonać taki projekt w ramach ekhem, swojego hobby:
W opisie szczegółów autor umieścił m.in. linka do źródeł kodu takiego makra. W trakcie exploitacji używany jest podatny sterownik (zam64.sys) używany przez oprogramowanie anty-malware (!) o nazwie Malwarefox.
Całość składa się z dwóch faz:
- Standardowe wykonanie kodu w Windows po uruchomieniu makra przez ofiarę
- Eskalacji uprawnień do poziomu jądra systemu (poprzez wykorzystanie luki w sterowniku)
Po co to wszystko? Samo wykonanie kodu na poziomie jądra idealnie nadaje się do ukrywania działalności szkodnika przed rozmaitymi systemami antymalware. A projekt makra miał na celu pokazanie, że da się to zrealizować, korzystając tylko z Visual Basica (VBA).
~Michał Sajdak
żeby soft był w stanie w wiarygodny sposób skanować system w poszukiwaniu złośliwego oprogramowania musi mieć niebezpiecznie wysokie uprawnienia
nie pierwszy i nie ostatni przypadek wykorzystania błędu w krytycznym module takiego softu…
Czyli jeśli makra są wyłączone atak nie powinien działać?
A kto używa niszowego MalwareFox? 👀 No wonder jakiekolwiek oprogramowanie z dostępem do jądra może mieć podatność do ring 0. Eskalacja i tytuł na kiju