Компонентная объектная модель (COM), являющаяся основополагающим аспектом разработки Microsoft Windows с 1990-х годов, продолжает представлять собой целевую уязвимость для атак в современных системах. В феврале 2025 года Джеймс Форшоу (James Forshaw) из Google Project Zero представил инновационный метод, который использует распределенный COM (DCOM) для выполнения сетевого управляемого кода в рамках серверного процесса DCOM.
Методики и исследования
Этот подход имеет большее значение для повышения привилегий и обхода защиты Protected Process Light (PPL). За результатами исследований Форшоу последовал Мохамед Факруд, который адаптировал метод для конкретных целей, связанных с обходом PPL. В то же время Форшоу и его коллеги исследовали потенциал этого метода для перемещения в сторону без использования файлов, манипулируя захваченными COM-объектами.
Уязвимости в реестре Windows
COM-объекты регистрируются в реестре Windows и создаются клиентскими программами для упрощения взаимодействия с COM-серверами. Манипуляции с этими объектами могут быть использованы для обнаружения уязвимостей. Перехваченный COM-объект дает клиенту возможность создать экземпляр COM-класса на сервере DCOM, оказывается вне процесса, получая управление посредством указателя на объект, упорядоченного по ссылке.
Ключевые находки и библиотеки
В анализе Форшоу было отмечено использование библиотеки WaaSRemediation и определенных классов COM, в частности StdFont и StdPicture, для выполнения перехвата. Изменив раздел реестра TreatAs для StdFont, можно перенаправить его на выбранный COM-класс, например System.Object в .NET Framework.
Форшоу также подчеркнул важность включения функции отражения DCOM, что позволяет разрешать вызовы произвольных методов, преодолевая типичные ограничения DCOM, введенные предыдущими мерами по устранению неполадок. Это исследование подтверждает необходимость обеспечения загрузки последней версии .NET CLR, поскольку более ранние версии могут ограничивать функциональность.
Ограничения и дальнейшие исследования
Однако заметным ограничением разработанных методов является временный характер результирующих маяков, которые зависят от срока службы COM-клиента. Исследователи также изучили различные методы продления срока службы радиомаяка по сравнению с первоначальным вариантом применения, демонстрируя сложность поддержания работоспособности за счет расширения возможностей использования связи.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уязвимости COM: Угрозы и новые методы атак DCOM".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
