Cómo un navegador bloquea silenciosamente la ejecución RWX
2025-01-08
Un investigador de seguridad descubrió un mecanismo similar a EDR en un navegador popular que bloquea la ejecución de shellcode RWX. Al interceptar la API BaseThreadInitThunk(), el navegador verifica si los atributos de memoria del shellcode son PAGE_EXECUTE_READ. Si no lo son, redirige la ejecución del hilo a un 'sumidero', impidiendo la ejecución de código malicioso. Si bien es simple, esta característica inesperada destaca las medidas de seguridad proactivas de un navegador, aumentando significativamente la dificultad de explotar las regiones de memoria RWX.