Comment un navigateur bloque silencieusement l'exécution RWX ?
2025-01-08
Un chercheur en sécurité a découvert un mécanisme similaire à un EDR dans un navigateur populaire qui bloque l'exécution de shellcode RWX. En interceptant l'API BaseThreadInitThunk(), le navigateur vérifie si les attributs mémoire du shellcode sont PAGE_EXECUTE_READ. Sinon, il redirige l'exécution du thread vers un 'puits', empêchant l'exécution de code malveillant. Bien que simple, cette fonctionnalité inattendue souligne les mesures de sécurité proactives d'un navigateur, augmentant significativement la difficulté d'exploiter les régions mémoire RWX.