Akamai Technologiesは12月11日(米国時間)、「Teaching an Old Framework New Tricks: The Dangers of Windows UI Automation|Akamai」において、WindowsのUIオートメーションフレームワークを悪用することでEDR(Endpoint Detection and Response)を回避できる可能性があると伝えた。

この手法は、Windows XP以降のすべてのWindowsで有効とみられる。

  • Teaching an Old Framework New Tricks: The Dangers of Windows UI Automation|Akamai

    Teaching an Old Framework New Tricks: The Dangers of Windows UI Automation|Akamai

UIオートメーションフレームワークの概要

Windowsの「UIオートメーションフレームワーク」は、障碍を持つユーザーを支援するアクセシビリティー機能の1つ。デスクトップ上のユーザーインタフェイス(UI: User Interface)要素へのプログラムによるアクセスを提供することで、スクリーンリーダーなどによる読み上げや、さまざまな入力操作を可能にする。

通常、アプリケーションはオペレーティングシステムが提供する機能により、他のアプリケーションからの侵害を受けないようになっている。これはセキュリティを確保する上で非常に重要な機能で、マルウェアによるアプリケーションの操作や情報窃取などを防止している。

しかしながら、スクリーンリーダーなどのユーザー補助機能を実装する場合は、この機能が壁となる。そこで、WindowsはUIオートメーションを提供することで、このセキュリティ機能を突破できるようにしている。

3つの悪用例

AkamaiはUIオートメーションを悪用する事例として、次の3つの実験結果を解説している。

メッセージの読み書き

UIオートメーションを使用すると、他のアプリケーションに表示されているメッセージを読み取ったり、メッセージを書き込んで送信したりすることができる。これは、現在表示されているウィンドウに限らず実行可能で、コンピュータがロックされていても実行可能とされる。

  • Slackからメッセージを窃取する例 - 引用:Akamai

    Slackからメッセージを窃取する例 引用:Akamai

機密情報の窃取

UIオートメーションはWebブラウザに表示された情報を読み取ることができる。通販サイトに入力したクレジットカード情報も気づかれないように窃取できる。

隠蔽可能なリダイレクト

UIオートメーションによるUI操作を活用すると、Webブラウザを任意のWebサイトにアクセスさせることができる。ユーザーによるWebページの遷移の瞬間を捉えることができるため、悪意のあるWebサイトへのアクセスを隠蔽可能とされる。

  • 画面遷移を捉えてBrowser Exploitation Framework(BeEF)にアクセスさせる例 - 引用:Akamai

    画面遷移を捉えてBrowser Exploitation Framework(BeEF)にアクセスさせる例 引用:Akamai

影響と対策

UIオートメーションを利用するアプリケーションはデフォルトで中程度の信頼レベルで実行される。そのため、特権プロセスへのアクセスは許可されない。しかしながら、その動作は障碍者支援に必要と評価され、悪意のある動作であってもEDRから検出されることはない。

Akamaiは実際の悪用にはユーザー操作が必要で、他の攻撃よりも難しいとして直近の脅威とはしていない。それでもEDRに検出されない事実は攻撃者にとって魅力的で、いずれ悪用される可能性があると指摘している。

今回は将来の脅威への備えとして調査結果を公表しており、セキュリティソリューションの開発企業に対し、プロアクティブな対策を推奨している。