Новости Новый метод манипуляции DLL позволяет обойти защиту Windows

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Злоумышленник может выполнить произвольный код без повышения привилегий.


14r93phj5z1xxqjyyadxbcwv7mrniq1z.jpg


ИБ-компания Security Joes Для просмотра ссылки Войди или Зарегистрируйся новый вариант метода перехвата порядка поиска DLL -библиотек, который может быть использован злоумышленниками для обхода защитных механизмов и выполнения вредоносного кода на системах, работающих под управлением Windows 10 и Windows 11.

Согласно отчету Security Joes, новый подход заключается в использовании исполняемых файлов из доверенной папки WinSxS и эксплуатации их с помощью классической техники подмены порядка поиска DLL. Подход позволяет киберпреступнику избавиться от необходимости повышения привилегий при попытке запустить вредоносный код на скомпрометированном компьютере, а также внедрять потенциально уязвимые бинарные файлы в цепочку атаки.

Техника подмены порядка поиска DLL ( DLL Search Order Hijacking ) включает манипулирование порядком поиска, используемым для загрузки DLL, с целью выполнения вредоносных полезных нагрузок для обхода защиты, сохранения и повышения привилегий. Подобные атаки нацелены на приложения, которые не указывают полный путь к необходимым им библиотекам, а вместо этого опираются на предопределенный порядок поиска для поиска необходимых DLL на диске.

Злоумышленники используют такое поведение, перемещая легитимные системные бинарные файлы в нестандартные каталоги, которые содержат вредоносные DLL с именами, совпадающими с законными, так что вредоносная библиотека выбирается вместо настоящей DLL.

Security Joes предупреждает, что в папке WinSxS может быть больше бинарных файлов, подверженных такой подмене порядка поиска DLL, что требует от организаций принятия соответствующих мер предосторожности для предотвращения использования этого метода эксплуатации в их средах.

Компания рекомендует внимательно отслеживать все активности, выполняемые бинарными файлами, находящимися в папке WinSxS, сосредотачиваясь как на сетевых коммуникациях, так и на операциях с файлами.
 
Источник новости
www.securitylab.ru

Похожие темы