{"id":1115688,"date":"2024-01-01T14:37:01","date_gmt":"2024-01-01T14:37:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-variante-del-secuestro-de-orden-de-busqueda-de-dll-evita-las-protecciones-de-windows-10-y-11\/"},"modified":"2024-01-01T14:37:05","modified_gmt":"2024-01-01T14:37:05","slug":"nueva-variante-del-secuestro-de-orden-de-busqueda-de-dll-evita-las-protecciones-de-windows-10-y-11","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-variante-del-secuestro-de-orden-de-busqueda-de-dll-evita-las-protecciones-de-windows-10-y-11\/","title":{"rendered":"Nueva variante del secuestro de orden de b\u00fasqueda de DLL evita las protecciones de Windows 10 y 11"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 de enero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Seguridad\/vulnerabilidad de Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nueva-variante-del-secuestro-de-orden-de-busqueda-de-DLL.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de seguridad han detallado una nueva variante de una biblioteca de enlaces din\u00e1micos (<a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-client\/deployment\/dynamic-link-library\" target=\"_blank\">DLL<\/a>) t\u00e9cnica de secuestro de \u00f3rdenes de b\u00fasqueda que podr\u00edan utilizar los actores de amenazas para eludir los mecanismos de seguridad y lograr la ejecuci\u00f3n de c\u00f3digo malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11.<\/p>\n<p>El enfoque &#8220;aprovecha los ejecutables que se encuentran com\u00fanmente en la carpeta confiable WinSxS y los explota a trav\u00e9s de la t\u00e9cnica cl\u00e1sica de secuestro de orden de b\u00fasqueda de DLL&#8221;, dijo la firma de ciberseguridad Security Joes. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.securityjoes.com\/post\/hide-and-seek-in-windows-closet-unmasking-the-winsxs-hijacking-hideout\" target=\"_blank\">dicho<\/a> en un nuevo informe compartido exclusivamente con The Hacker News.<\/p>\n<p>Al hacerlo, permite a los adversarios eliminar la necesidad de privilegios elevados cuando intentan ejecutar c\u00f3digo nefasto en una m\u00e1quina comprometida, as\u00ed como introducir archivos binarios potencialmente vulnerables en la cadena de ataque, como se observ\u00f3 en el pasado.<\/p>\n<p><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/001\/\" target=\"_blank\">Secuestro de orden de b\u00fasqueda de DLL<\/a>como su nombre lo indica, implica <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/abusing-dll-misconfigurations\" target=\"_blank\">jugando el orden de b\u00fasqueda<\/a> se utiliza para cargar archivos DLL con el fin de ejecutar cargas \u00fatiles maliciosas con fines de evasi\u00f3n de defensa, persistencia y escalada de privilegios.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1704101155_859_Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Espec\u00edficamente, <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.crowdstrike.com\/blog\/4-ways-adversaries-hijack-dlls\/\" target=\"_blank\">ataques explotando la t\u00e9cnica<\/a> seleccione las aplicaciones que no especifican la ruta completa a las bibliotecas que necesitan y, en su lugar, conf\u00ede en un orden de b\u00fasqueda predefinido para localizar las DLL necesarias en el disco.<\/p>\n<p>Actores de amenazas <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/redcanary.com\/threat-detection-report\/techniques\/dll-search-order-hijacking\/\" target=\"_blank\">Aprovechar<\/a> de este comportamiento moviendo archivos binarios leg\u00edtimos del sistema a directorios no est\u00e1ndar que incluyen archivos DLL maliciosos que llevan el nombre de archivos leg\u00edtimos, de modo que la biblioteca que contiene el c\u00f3digo de ataque se selecciona en lugar de este \u00faltimo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1704119820_519_Nueva-variante-del-secuestro-de-orden-de-busqueda-de-DLL.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1704119820_519_Nueva-variante-del-secuestro-de-orden-de-busqueda-de-DLL.jpg\" alt=\"Secuestro de orden de b\u00fasqueda de DLL\" border=\"0\" data-original-height=\"520\" data-original-width=\"728\" title=\"Secuestro de orden de b\u00fasqueda de DLL\"\/><\/a><\/div>\n<p>Esto, a su vez, funciona porque el proceso que llama a la DLL buscar\u00e1 primero en el directorio desde el que se est\u00e1 ejecutando antes de iterar recursivamente a trav\u00e9s de otras ubicaciones en un orden particular para localizar y cargar el recurso en cuesti\u00f3n.  En otras palabras, el orden de b\u00fasqueda es el siguiente:<\/p>\n<ol>\n<li>El directorio desde el que se inicia la aplicaci\u00f3n.<\/li>\n<li>La carpeta &#8220;C:WindowsSystem32&#8221;<\/li>\n<li>La carpeta &#8220;C:WindowsSystem&#8221;<\/li>\n<li>La carpeta &#8220;C:Windows&#8221;<\/li>\n<li>El directorio de trabajo actual<\/li>\n<li>Directorios enumerados en la variable de entorno PATH del sistema<\/li>\n<li>Directorios enumerados en la variable de entorno PATH del usuario<\/li>\n<\/ol>\n<p>El novedoso giro ideado por Security Joes apunta a archivos ubicados en la carpeta confiable &#8220;C:WindowsWinSxS&#8221;.  WinSxS, abreviatura de Windows lado a lado, es un <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/manufacture\/desktop\/manage-the-component-store?view=windows-11\" target=\"_blank\">componente cr\u00edtico de Windows<\/a> que se utiliza para la personalizaci\u00f3n y actualizaci\u00f3n del sistema operativo para garantizar la compatibilidad e integridad.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Este enfoque representa una aplicaci\u00f3n novedosa en ciberseguridad: tradicionalmente, los atacantes se han basado en gran medida en t\u00e9cnicas bien conocidas como el secuestro de orden de b\u00fasqueda de DLL, un m\u00e9todo que manipula c\u00f3mo las aplicaciones de Windows cargan bibliotecas y ejecutables externos&#8221;, Ido Naor, cofundador y CEO de Security Joes, dijo en un comunicado compartido con The Hacker News.<\/p>\n<p>\n<iframe loading=\"lazy\" title=\"Hide and Seek in Windows&#039; Closet: Unmasking the WinSxS Hijacking Hideout  by Thiago Peixoto\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/3ZPucAA8lZQ?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/p>\n<p>&#8220;Nuestro descubrimiento se desv\u00eda de este camino y revela un m\u00e9todo de explotaci\u00f3n m\u00e1s sutil y sigiloso&#8221;.<\/p>\n<p>La idea, en pocas palabras, es encontrar archivos binarios vulnerables en la carpeta WinSxS (por ejemplo, ngentask.exe y aspnet_wp.exe) y combinarlos con los m\u00e9todos habituales de secuestro del orden de b\u00fasqueda de DLL colocando estrat\u00e9gicamente una DLL personalizada con el mismo nombre que la DLL leg\u00edtima en un directorio controlado por el actor para lograr la ejecuci\u00f3n del c\u00f3digo.<\/p>\n<p>Como resultado, simplemente ejecutar un archivo vulnerable en la carpeta WinSxS configurando la carpeta personalizada que contiene la DLL maliciosa como el directorio actual es suficiente para activar la ejecuci\u00f3n del contenido de la DLL sin tener que copiar el ejecutable de la carpeta WinSxS.<\/p>\n<p>Security Joes advirti\u00f3 que podr\u00eda haber archivos binarios adicionales en la carpeta WinSxS que son susceptibles a este tipo de secuestro de orden de b\u00fasqueda de DLL, lo que requiere que las organizaciones tomen las precauciones adecuadas para mitigar el m\u00e9todo de explotaci\u00f3n dentro de sus entornos.<\/p>\n<p>&#8220;Examine las relaciones padre-hijo entre procesos, con un enfoque espec\u00edfico en binarios confiables&#8221;, dijo la compa\u00f1\u00eda.  &#8220;Supervise de cerca todas las actividades realizadas por los archivos binarios que residen en la carpeta WinSxS, centr\u00e1ndose tanto en las comunicaciones de red como en las operaciones de archivos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/new-variant-of-dll-search-order.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 de enero de 2024\ue804Sala de redacci\u00f3nSeguridad\/vulnerabilidad de Windows Los investigadores de seguridad han detallado una nueva variante<\/p>\n","protected":false},"author":1,"featured_media":1115690,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,1781,4664,38,211675,5568,4662,4668,246,201033,4654,201031,4659,4653,4655,212,8698,17162,8341,4666,4665,201032,25649,4660,20385],"class_list":["post-1115688","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-busqueda","tag-como-hackear","tag-del","tag-dll","tag-evita","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-orden","tag-protecciones","tag-secuestro","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-variante","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1115688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1115688"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1115688\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1115690"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1115688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1115688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1115688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}