一种新设计的技术利用名为 “用户界面自动化”（UI Automation，UIA）的 Windows 可访问性框架来执行各种恶意活动，而不会引起端点检测和响应（EDR）解决方案的注意。

“要利用这种技术，必须说服用户运行一个使用 UI Automation 的程序，”Akamai 安全研究员 Tomer Peled 在与 The Hacker News 分享的一份报告中说。“这可能会导致隐蔽命令的执行，从而获取敏感数据、将浏览器重定向到钓鱼网站等。”

更糟糕的是，本地攻击者可以利用这一安全盲点执行命令，并从/向 Slack 和 WhatsApp 等消息应用程序读/写消息。除此之外，它还有可能被武器化，通过网络操纵用户界面元素。

作为微软 .NET Framework 的一部分，UI Automation 最早出现在 Windows XP 中，旨在提供对各种用户界面（UI）元素的编程访问，帮助用户使用辅助技术产品（如屏幕阅读器）进行操作。它还可用于自动测试场景。

“微软在一份支持文档中指出：”辅助技术应用程序通常需要访问受保护的系统用户界面元素，或访问可能以更高权限级别运行的其他进程。“因此，辅助技术应用程序必须得到系统的信任，并且必须以特殊权限运行。”

“要访问更高的 IL 进程，辅助技术应用程序必须在应用程序的清单中设置 UIAccess 标志，并由具有管理员权限的用户启动。”

通过使用组件对象模型（COM）作为进程间通信（IPC）机制，实现了用户界面与其他应用程序中元素的交互。这使得创建 UIA 对象成为可能，通过设置事件处理程序，当检测到某些用户界面变化时就会触发该事件处理程序，从而实现与焦点应用程序的交互。

Akamai的研究发现，这种方法也可能为滥用开辟一条途径，使恶意行为者能够读/写信息、窃取在网站上输入的数据（如支付信息），并在浏览器中当前显示的网页刷新或更改时执行命令，将受害者重定向到恶意网站。

佩莱德指出：“除了当前屏幕上显示的、我们可以与之交互的用户界面元素外，还有更多元素被提前加载并置于缓存中。我们还可以与这些元素进行交互，比如阅读屏幕上未显示的信息，甚至可以设置文本框并发送信息，而屏幕上却不会反映出来。”

尽管如此，值得注意的是，这些恶意场景都是 UI Automation 的预期功能，就像 Android 的辅助服务 API 已成为恶意软件从被入侵设备中提取信息的主要方式一样。

“这又回到了应用程序的预期目的： 这些权限级别必须存在才能使用，”Peled 补充说。“这就是 UIA 能够绕过 Defender 的原因–该应用程序没有发现任何异常。如果某些东西被视为功能而不是错误，那么机器的逻辑就会遵循这一功能。”

从 COM 到 DCOM：横向移动攻击向量

Deep Instinct 在披露这一信息的同时，还揭露了允许软件组件通过网络通信的分布式 COM (DCOM) 远程协议，该协议可被用于远程编写自定义有效载荷，以创建嵌入式后门。

安全研究人员 Eliran Nissan 说，这种攻击 “允许在目标计算机上编写自定义 DLL，将其加载到服务中，并使用任意参数执行其功能。这种类似后门的攻击滥用了 IMsiServer COM 接口。”

尽管如此，这家以色列网络安全公司指出，这种攻击会留下明显的破坏迹象（IoCs），可以被检测和阻止。此外，它还要求攻击者和受害者的机器处于同一域中。

日产说：“到目前为止，由于基于 IDispatch 的 COM 对象具有可编写脚本的特性，因此 DCOM 横向移动攻击只针对这些对象进行研究。新的’DCOM Upload & Execute’方法远程将自定义有效载荷写入受害者的[Global Assembly Cache]，从服务上下文中执行这些有效载荷，并与它们通信，有效地发挥了嵌入式后门的作用。”

“这里介绍的研究证明，许多意想不到的 DCOM 对象都可能被利用来进行横向移动，因此应调整适当的防御措施。”