Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Złośliwe makro MS Office może uzyskać absolutne pełne uprawnienia w Windows (wykonanie kodu na poziomie jądra OS, wykorzystanie buga w sterowniku).

27 października 2022, 10:20 | W biegu | komentarze 3
Tagi: ,

Ktoś postanowił wykonać taki projekt w ramach ekhem, swojego hobby:

W opisie szczegółów autor umieścił m.in. linka do źródeł kodu takiego makra. W trakcie exploitacji używany jest podatny sterownik (zam64.sys) używany przez oprogramowanie anty-malware (!) o nazwie Malwarefox.

Całość składa się z dwóch faz:

  1. Standardowe wykonanie kodu w Windows po uruchomieniu makra przez ofiarę
  2. Eskalacji uprawnień do poziomu jądra systemu (poprzez wykorzystanie luki w sterowniku)

Po co to wszystko? Samo wykonanie kodu na poziomie jądra idealnie nadaje się do ukrywania działalności szkodnika przed rozmaitymi systemami antymalware. A projekt makra miał na celu pokazanie, że da się to zrealizować, korzystając tylko z Visual Basica (VBA).

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. zakius

    żeby soft był w stanie w wiarygodny sposób skanować system w poszukiwaniu złośliwego oprogramowania musi mieć niebezpiecznie wysokie uprawnienia
    nie pierwszy i nie ostatni przypadek wykorzystania błędu w krytycznym module takiego softu…

    Odpowiedz
  2. Vetycja

    Czyli jeśli makra są wyłączone atak nie powinien działać?

    Odpowiedz
  3. G

    A kto używa niszowego MalwareFox? 👀 No wonder jakiekolwiek oprogramowanie z dostępem do jądra może mieć podatność do ring 0. Eskalacja i tytuł na kiju

    Odpowiedz

Odpowiedz