Nueva variante del secuestro de orden de búsqueda de DLL evita las protecciones de Windows 10 y 11


01 de enero de 2024Sala de redacciónSeguridad/vulnerabilidad de Windows

Los investigadores de seguridad han detallado una nueva variante de una biblioteca de enlaces dinámicos (DLL) técnica de secuestro de órdenes de búsqueda que podrían utilizar los actores de amenazas para eludir los mecanismos de seguridad y lograr la ejecución de código malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11.

El enfoque “aprovecha los ejecutables que se encuentran comúnmente en la carpeta confiable WinSxS y los explota a través de la técnica clásica de secuestro de orden de búsqueda de DLL”, dijo la firma de ciberseguridad Security Joes. dicho en un nuevo informe compartido exclusivamente con The Hacker News.

Al hacerlo, permite a los adversarios eliminar la necesidad de privilegios elevados cuando intentan ejecutar código nefasto en una máquina comprometida, así como introducir archivos binarios potencialmente vulnerables en la cadena de ataque, como se observó en el pasado.

Secuestro de orden de búsqueda de DLLcomo su nombre lo indica, implica jugando el orden de búsqueda se utiliza para cargar archivos DLL con el fin de ejecutar cargas útiles maliciosas con fines de evasión de defensa, persistencia y escalada de privilegios.

La seguridad cibernética

Específicamente, ataques explotando la técnica seleccione las aplicaciones que no especifican la ruta completa a las bibliotecas que necesitan y, en su lugar, confíe en un orden de búsqueda predefinido para localizar las DLL necesarias en el disco.

Actores de amenazas Aprovechar de este comportamiento moviendo archivos binarios legítimos del sistema a directorios no estándar que incluyen archivos DLL maliciosos que llevan el nombre de archivos legítimos, de modo que la biblioteca que contiene el código de ataque se selecciona en lugar de este último.

Secuestro de orden de búsqueda de DLL

Esto, a su vez, funciona porque el proceso que llama a la DLL buscará primero en el directorio desde el que se está ejecutando antes de iterar recursivamente a través de otras ubicaciones en un orden particular para localizar y cargar el recurso en cuestión. En otras palabras, el orden de búsqueda es el siguiente:

  1. El directorio desde el que se inicia la aplicación.
  2. La carpeta “C:WindowsSystem32”
  3. La carpeta “C:WindowsSystem”
  4. La carpeta “C:Windows”
  5. El directorio de trabajo actual
  6. Directorios enumerados en la variable de entorno PATH del sistema
  7. Directorios enumerados en la variable de entorno PATH del usuario

El novedoso giro ideado por Security Joes apunta a archivos ubicados en la carpeta confiable “C:WindowsWinSxS”. WinSxS, abreviatura de Windows lado a lado, es un componente crítico de Windows que se utiliza para la personalización y actualización del sistema operativo para garantizar la compatibilidad e integridad.

La seguridad cibernética

“Este enfoque representa una aplicación novedosa en ciberseguridad: tradicionalmente, los atacantes se han basado en gran medida en técnicas bien conocidas como el secuestro de orden de búsqueda de DLL, un método que manipula cómo las aplicaciones de Windows cargan bibliotecas y ejecutables externos”, Ido Naor, cofundador y CEO de Security Joes, dijo en un comunicado compartido con The Hacker News.

“Nuestro descubrimiento se desvía de este camino y revela un método de explotación más sutil y sigiloso”.

La idea, en pocas palabras, es encontrar archivos binarios vulnerables en la carpeta WinSxS (por ejemplo, ngentask.exe y aspnet_wp.exe) y combinarlos con los métodos habituales de secuestro del orden de búsqueda de DLL colocando estratégicamente una DLL personalizada con el mismo nombre que la DLL legítima en un directorio controlado por el actor para lograr la ejecución del código.

Como resultado, simplemente ejecutar un archivo vulnerable en la carpeta WinSxS configurando la carpeta personalizada que contiene la DLL maliciosa como el directorio actual es suficiente para activar la ejecución del contenido de la DLL sin tener que copiar el ejecutable de la carpeta WinSxS.

Security Joes advirtió que podría haber archivos binarios adicionales en la carpeta WinSxS que son susceptibles a este tipo de secuestro de orden de búsqueda de DLL, lo que requiere que las organizaciones tomen las precauciones adecuadas para mitigar el método de explotación dentro de sus entornos.

“Examine las relaciones padre-hijo entre procesos, con un enfoque específico en binarios confiables”, dijo la compañía. “Supervise de cerca todas las actividades realizadas por los archivos binarios que residen en la carpeta WinSxS, centrándose tanto en las comunicaciones de red como en las operaciones de archivos”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57