Les chercheurs en sécurité ont détaillé une nouvelle variante d’une bibliothèque de liens dynamiques (DLL) technique de détournement d’ordres de recherche qui pourrait être utilisée par les acteurs malveillants pour contourner les mécanismes de sécurité et réaliser l’exécution de code malveillant sur les systèmes exécutant Microsoft Windows 10 et Windows 11.
L’approche « exploite les exécutables couramment trouvés dans le dossier de confiance WinSxS et les exploite via la technique classique de détournement d’ordre de recherche de DLL », a déclaré la société de cybersécurité Security Joes. dit dans un nouveau rapport partagé exclusivement avec The Hacker News.
Ce faisant, il permet aux adversaires d’éliminer le besoin de privilèges élevés lorsqu’ils tentent d’exécuter du code néfaste sur une machine compromise et d’introduire des binaires potentiellement vulnérables dans la chaîne d’attaque, comme observé dans le passé.
Détournement de l’ordre de recherche de DLLcomme son nom l’indique, implique jouer avec l’ordre de recherche utilisé pour charger des DLL afin d’exécuter des charges utiles malveillantes à des fins d’évasion de la défense, de persistance et d’élévation de privilèges.
Spécifiquement, attaques exploitant la technique distinguent les applications qui ne spécifient pas le chemin complet vers les bibliothèques dont elles ont besoin et s’appuient à la place sur un ordre de recherche prédéfini pour localiser les DLL nécessaires sur le disque.
Acteurs menaçants tirer profit de ce comportement en déplaçant les binaires légitimes du système vers des répertoires non standard qui incluent des DLL malveillantes nommées d’après des DLL légitimes afin que la bibliothèque contenant le code d’attaque soit récupérée à la place de ce dernier.
Ceci, à son tour, fonctionne parce que le processus appelant la DLL recherchera d’abord dans le répertoire à partir duquel il s’exécute avant de parcourir de manière récursive d’autres emplacements dans un ordre particulier pour localiser et charger la ressource en question. En d’autres termes, l’ordre de recherche est le suivant :
- Le répertoire à partir duquel l’application est lancée
- Le dossier « C:WindowsSystem32 »
- Le dossier « C:WindowsSystem »
- Le dossier « C:Windows »
- Le répertoire de travail actuel
- Répertoires répertoriés dans la variable d’environnement PATH du système
- Répertoires répertoriés dans la variable d’environnement PATH de l’utilisateur
La nouvelle variante conçue par Security Joes cible les fichiers situés dans le dossier de confiance « C:WindowsWinSxS ». Abréviation de Windows côte à côte, WinSxS est un composant Windows critique qui est utilisé pour la personnalisation et la mise à jour du système d’exploitation afin de garantir la compatibilité et l’intégrité.
« Cette approche représente une nouvelle application en matière de cybersécurité : traditionnellement, les attaquants s’appuient largement sur des techniques bien connues telles que le détournement de l’ordre de recherche des DLL, une méthode qui manipule la façon dont les applications Windows chargent des bibliothèques et des exécutables externes », Ido Naor, co-fondateur et PDG de Security Joes, a déclaré dans un communiqué partagé avec The Hacker News.
« Notre découverte s’écarte de cette voie, dévoilant une méthode d’exploitation plus subtile et furtive. »
L’idée, en un mot, est de trouver les binaires vulnérables dans le dossier WinSxS (par exemple, ngentask.exe et aspnet_wp.exe) et de les combiner avec les méthodes habituelles de piratage de l’ordre de recherche de DLL en plaçant stratégiquement une DLL personnalisée portant le même nom que le DLL légitime dans un répertoire contrôlé par un acteur pour réaliser l’exécution du code.
Par conséquent, il suffit d’exécuter simplement un fichier vulnérable dans le dossier WinSxS en définissant le dossier personnalisé contenant la DLL malveillante comme répertoire courant pour déclencher l’exécution du contenu de la DLL sans avoir à y copier l’exécutable du dossier WinSxS.
Security Joes a averti qu’il pourrait y avoir des fichiers binaires supplémentaires dans le dossier WinSxS qui sont sensibles à ce type de détournement d’ordre de recherche de DLL, ce qui oblige les organisations à prendre les précautions adéquates pour atténuer la méthode d’exploitation dans leurs environnements.
« Examinez les relations parent-enfant entre les processus, avec un accent particulier sur les binaires fiables », a déclaré la société. « Surveillez de près toutes les activités effectuées par les binaires résidant dans le dossier WinSxS, en vous concentrant à la fois sur les communications réseau et les opérations sur les fichiers. »