Como um navegador bloqueia silenciosamente a execução RWX?
2025-01-08
Um pesquisador de segurança descobriu um mecanismo semelhante a EDR em um navegador popular que bloqueia a execução de shellcode RWX. Ao interceptar a API BaseThreadInitThunk(), o navegador verifica se os atributos de memória do shellcode são PAGE_EXECUTE_READ. Se não forem, ele redireciona a execução da thread para um 'sumidouro', impedindo a execução de código malicioso. Embora simples, esse recurso inesperado destaca as medidas de segurança proativas de um navegador, aumentando significativamente a dificuldade de explorar regiões de memória RWX.