Дослідник безпеки, відомий в Мережі як Adam, розкрив подробиці про нову техніку впровадження коду, що отримала назву PROPagate. Метод працює на всіх недавніх версіях операційної системи Windows і дозволяє непомітно впровадити шкідливий код в додатки.

PROPagate передбачає використання функцій служб управління API інтерфейсу Windows GUI (графічний інтерфейс користувача, ГІП). Спочатку дослідження фахівця було сконцентровано навколо функцій SetWindowSubclass API. Adam з'ясував, що може проексплуатувати властивості вікна GUI (UxSubclassInfo і CC32SubclassInfo), використовувані функцією SetWindowSubclass, для завантаження і виконання шкідливого коду всередині інших (легітимних) додатків. Як пояснив експерт в інтерв'ю ресурсу Bleeping Computer, код може бути впроваджений не в усі процеси, а лише в які використовують елементи керування Windows GUI і популярні GUI-фреймворки.

«Насправді, це не можна вважати обмеженням, так як вразливість поширюється на більшість популярних додатків, включаючи Windows Explorer», - додав Adam.

Adam описав атаку в своєму блозі два тижні тому. Тоді він зазначив, що зміг використовувати метод PROPagate для впровадження коду в «Windows Explorer, Total Commander, Process Hacker, Ollydbg і ще кілька додатків». Експерт вирішив не публікувати PoC атаки в зв'язку з міркуваннями безпеки. За словами дослідника, атака працює на версіях Windows XP і Windows 10, а також на 32- і 64-розрядних процесах.

Як пояснив Adam, його знахідка не становить серйозної причини для занепокоєння в порівнянні з іншими уразливими, що дозволяють виконати довільний код або підвищити привілеї на системі.

«Це техніка обходу. Я не зв'язувався з Microsoft, оскільки дана уразливість не є критичною і не дозволяє підвищити права, мені здалося, що не варто про неї повідомляти. Зловмисник може виконати атаку тільки в тому випадку, якщо система вже скомпрометована », - зазначив Adam.

Навіть якби дослідник повідомив Microsoft про проблему, компанія, швидше за все, відреагувала так само, як і у випадку з командою enSilo, яка розкрила інформацію про схожу техніці впровадження коду під назвою AtomBombing. Тоді виробник відмовився розглядати вразливість як проблему безпеки. Тим не менш, через кілька місяців після повідомлення, технікою AtomBombing поповнився арсенал банківського трояна Dridex, яку він використовував для впровадження шкідливого коду в законне програмне забезпечення на заражених комп'ютерах.