Akamai安全研究员Tomer Peled公布了一种利用微软传统UI自动化框架的新型攻击技术。研究结果揭示了攻击者如何利用该框架绕过现代端点检测和响应（EDR）系统，从而引发重大网络安全问题。

微软的UI自动化框架是在Windows XP时代推出的，旨在帮助残疾用户，提供更高的权限来操作用户界面（UI）元素。根据 Peled 的说法，“UI 自动化需要权限才能操作屏幕上存在的几乎所有 UI 元素”。这种功能虽然有利于无障碍操作，但却为攻击者提供了一条隐秘操作的途径。

Peled 的研究强调了攻击者如何滥用 UI Automation 来达到以下目的：

渗出敏感数据，如信用卡详细信息；将浏览器重定向到钓鱼网站；操纵 Slack 和 WhatsApp 等聊天应用程序读写信息。

这种技术最令人担忧的一点是它无法被检测工具发现。Peled 指出：“我们针对这种技术测试过的所有 EDR 技术都无法发现任何恶意活动。”这使它成为威胁行为者的一个有吸引力的选择，尤其是因为它适用于从 XP 开始的所有 Windows 操作系统。

这种攻击利用组件对象模型（COM）来操纵跨应用程序的用户界面元素。通过设置事件处理程序，攻击者可以监控用户界面元素并与之交互，包括从活动窗口读取敏感数据或模拟用户输入以执行命令。

Peled 的报告概述了概念验证（PoC）攻击，以展示威胁的严重性。在一个例子中，攻击者设置了处理程序，以获取在线商家网站上输入的信用卡详细信息。在另一个场景中，浏览器被重定向到使用 UI Automation 的钓鱼网站，从而使攻击者能够部署漏洞或窃取凭证。

（来源：安全客）