Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nueva variante del secuestro de orden de búsqueda de DLL evita las protecciones de Windows 10 y 11
  • Tecnología

Nueva variante del secuestro de orden de búsqueda de DLL evita las protecciones de Windows 10 y 11

teknomers 1 de Ocak de 2024 (Last updated: 1 de Ocak de 2024) 4 minutes read
Nueva variante del secuestro de orden de búsqueda de DLL


01 de enero de 2024Sala de redacciónSeguridad/vulnerabilidad de Windows

Los investigadores de seguridad han detallado una nueva variante de una biblioteca de enlaces dinámicos (DLL) técnica de secuestro de órdenes de búsqueda que podrían utilizar los actores de amenazas para eludir los mecanismos de seguridad y lograr la ejecución de código malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11.

El enfoque “aprovecha los ejecutables que se encuentran comúnmente en la carpeta confiable WinSxS y los explota a través de la técnica clásica de secuestro de orden de búsqueda de DLL”, dijo la firma de ciberseguridad Security Joes. dicho en un nuevo informe compartido exclusivamente con The Hacker News.

Al hacerlo, permite a los adversarios eliminar la necesidad de privilegios elevados cuando intentan ejecutar código nefasto en una máquina comprometida, así como introducir archivos binarios potencialmente vulnerables en la cadena de ataque, como se observó en el pasado.

Secuestro de orden de búsqueda de DLLcomo su nombre lo indica, implica jugando el orden de búsqueda se utiliza para cargar archivos DLL con el fin de ejecutar cargas útiles maliciosas con fines de evasión de defensa, persistencia y escalada de privilegios.

La seguridad cibernética

Específicamente, ataques explotando la técnica seleccione las aplicaciones que no especifican la ruta completa a las bibliotecas que necesitan y, en su lugar, confíe en un orden de búsqueda predefinido para localizar las DLL necesarias en el disco.

Actores de amenazas Aprovechar de este comportamiento moviendo archivos binarios legítimos del sistema a directorios no estándar que incluyen archivos DLL maliciosos que llevan el nombre de archivos legítimos, de modo que la biblioteca que contiene el código de ataque se selecciona en lugar de este último.

Secuestro de orden de búsqueda de DLL

Esto, a su vez, funciona porque el proceso que llama a la DLL buscará primero en el directorio desde el que se está ejecutando antes de iterar recursivamente a través de otras ubicaciones en un orden particular para localizar y cargar el recurso en cuestión. En otras palabras, el orden de búsqueda es el siguiente:

  1. El directorio desde el que se inicia la aplicación.
  2. La carpeta “C:WindowsSystem32”
  3. La carpeta “C:WindowsSystem”
  4. La carpeta “C:Windows”
  5. El directorio de trabajo actual
  6. Directorios enumerados en la variable de entorno PATH del sistema
  7. Directorios enumerados en la variable de entorno PATH del usuario

El novedoso giro ideado por Security Joes apunta a archivos ubicados en la carpeta confiable “C:WindowsWinSxS”. WinSxS, abreviatura de Windows lado a lado, es un componente crítico de Windows que se utiliza para la personalización y actualización del sistema operativo para garantizar la compatibilidad e integridad.

La seguridad cibernética

“Este enfoque representa una aplicación novedosa en ciberseguridad: tradicionalmente, los atacantes se han basado en gran medida en técnicas bien conocidas como el secuestro de orden de búsqueda de DLL, un método que manipula cómo las aplicaciones de Windows cargan bibliotecas y ejecutables externos”, Ido Naor, cofundador y CEO de Security Joes, dijo en un comunicado compartido con The Hacker News.

“Nuestro descubrimiento se desvía de este camino y revela un método de explotación más sutil y sigiloso”.

La idea, en pocas palabras, es encontrar archivos binarios vulnerables en la carpeta WinSxS (por ejemplo, ngentask.exe y aspnet_wp.exe) y combinarlos con los métodos habituales de secuestro del orden de búsqueda de DLL colocando estratégicamente una DLL personalizada con el mismo nombre que la DLL legítima en un directorio controlado por el actor para lograr la ejecución del código.

Como resultado, simplemente ejecutar un archivo vulnerable en la carpeta WinSxS configurando la carpeta personalizada que contiene la DLL maliciosa como el directorio actual es suficiente para activar la ejecución del contenido de la DLL sin tener que copiar el ejecutable de la carpeta WinSxS.

Security Joes advirtió que podría haber archivos binarios adicionales en la carpeta WinSxS que son susceptibles a este tipo de secuestro de orden de búsqueda de DLL, lo que requiere que las organizaciones tomen las precauciones adecuadas para mitigar el método de explotación dentro de sus entornos.

“Examine las relaciones padre-hijo entre procesos, con un enfoque específico en binarios confiables”, dijo la compañía. “Supervise de cerca todas las actividades realizadas por los archivos binarios que residen en la carpeta WinSxS, centrándose tanto en las comunicaciones de red como en las operaciones de archivos”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Luca será el primer bebé de Flandes Occidental en 2024
Next: Conductor choca contra un árbol y se vuelca en Nochevieja

Related Stories

Fin de la aventura para Rakuten France, que cerrará sus
  • Tecnología

Fin de la aventura para Rakuten France, que cerrará sus puertas a finales de año

teknomers 17 de Temmuz de 2026
¿Quién sucederá a Laure de la Raudière al frente de
  • Tecnología

¿Quién sucederá a Laure de la Raudière al frente de la ARCEP? Las candidaturas están abiertas

teknomers 17 de Temmuz de 2026
Apple Watch SE 3 GPS 40 mm a 216,65 €
  • Tecnología

Apple Watch SE 3 GPS 40 mm a 216,65 € en lugar de 269 € en Teknomers

teknomers 17 de Temmuz de 2026

You May Have Missed

Fin de la aventura para Rakuten France, que cerrará sus
  • Tecnología

Fin de la aventura para Rakuten France, que cerrará sus puertas a finales de año

teknomers 17 de Temmuz de 2026
REPORTAJE. "Un olor que perturbará a los machos": para combatir
  • salud

REPORTAJE. “Un olor que perturbará a los machos”: para combatir las orugas processionarias, en esta comuna cerca de Toulouse, disparan a los árboles… con paintball

teknomers 17 de Temmuz de 2026
No son las novelas las que dominan las listas de
  • Entretenimiento

No son las novelas las que dominan las listas de los mejores ventas de libros para las vacaciones

teknomers 17 de Temmuz de 2026
  • General

Lecciones de vida: Cita del Día de James Stewart: “No necesito a otras personas. No necesito… — Lecciones inspiradoras sobre la autosuficiencia, la confianza, la independencia, la resiliencia y por qué eres más fuerte de lo que te das cuenta, el actor estadounidense conocido por sus profundas reflexiones sobre el coraje, la fuerza personal y la experiencia humana.

teknomers 17 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.