Wie ein Browser die RWX-Ausführung heimlich blockiert
2025-01-08
Ein Sicherheitsforscher hat einen EDR-ähnlichen Mechanismus in einem beliebten Browser entdeckt, der die Ausführung von RWX-Shellcode blockiert. Durch das Haken der BaseThreadInitThunk()-API fängt der Browser die Thread-Erstellung ab und prüft, ob die Speicherattribute des Shellcodes PAGE_EXECUTE_READ sind. Wenn nicht, leitet er die Thread-Ausführung zu einem 'Sinkhole' um und verhindert so die Ausführung von schädlichem Code. Obwohl einfach, unterstreicht dieses unerwartete Feature die proaktiven Sicherheitsmaßnahmen eines Browsers und erhöht die Schwierigkeit, RWX-Speicherbereiche auszunutzen.