ブラウザがRWX実行を静かにブロックする方法
2025-01-08
セキュリティ研究者は、人気のあるブラウザでRWXシェルコードの実行をブロックするEDRのようなメカニズムを発見しました。BaseThreadInitThunk() APIをフックすることで、ブラウザはスレッドの作成をインターセプトし、シェルコードのメモリ属性がPAGE_EXECUTE_READかどうかを確認します。そうでない場合、スレッドの実行を「シンクホール」にリダイレクトし、悪意のあるコードの実行を防ぎます。シンプルですが、この予期せぬ機能は、ブラウザの積極的なセキュリティ対策を示しており、RWXメモリ領域の悪用を大幅に困難にしています。
続きを読む