DLL Search Order Hijacking bypassea protecciones de Windows 10 y 11

Iniciado por AXCESS, Enero 02, 2024, 07:13:36 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 02, 2024, 07:13:36 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Los investigadores de seguridad han detallado una nueva variante de una técnica de secuestro de órdenes de búsqueda de biblioteca de enlaces dinámicos (DLL) que los actores de amenazas podrían utilizar para eludir los mecanismos de seguridad y lograr la ejecución de código malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11.

El enfoque "aprovecha los ejecutables que se encuentran comúnmente en la carpeta confiable WinSxS y los explota a través de la técnica clásica de secuestro de orden de búsqueda de DLL", dijo la firma de ciberseguridad Security Joes en un nuevo informe compartido exclusivamente con The Hacker News.

Al hacerlo, permite a los adversarios eliminar la necesidad de privilegios elevados cuando intentan ejecutar código nefasto en una máquina comprometida, así como introducir archivos binarios potencialmente vulnerables en la cadena de ataque, como se observó en el pasado.

El secuestro del orden de búsqueda de DLL, como su nombre lo indica, implica jugar con el orden de búsqueda utilizado para cargar archivos DLL con el fin de ejecutar cargas útiles maliciosas con fines de evasión de defensa, persistencia y escalada de privilegios.

Específicamente, los ataques que explotan la técnica señalan aplicaciones que no especifican la ruta completa a las bibliotecas que necesitan y, en cambio, se basan en un orden de búsqueda predefinido para localizar las DLL necesarias en el disco.

Los actores de amenazas aprovechan este comportamiento moviendo archivos binarios legítimos del sistema a directorios no estándar que incluyen archivos DLL maliciosos que llevan el nombre de archivos legítimos, de modo que la biblioteca que contiene el código de ataque se selecciona en lugar de este último.

Ejemplo de DLL Search Order Hijacking abusando de un binario en la carpeta WinSxS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto, a su vez, funciona porque el proceso que llama a la DLL buscará primero en el directorio desde el que se está ejecutando antes de iterar recursivamente a través de otras ubicaciones en un orden particular para localizar y cargar el recurso en cuestión. En otras palabras, el orden de búsqueda es el siguiente:

    El directorio desde el que se inicia la aplicación.

    La carpeta "C:\Windows\System32"

    La carpeta "C:\Windows\System"

    La carpeta "C:\Windows"

    El directorio de trabajo actual

    Directorios enumerados en la variable de entorno PATH del sistema

    Directorios enumerados en la variable de entorno PATH del usuario

El novedoso giro ideado por Security Joes apunta a archivos ubicados en la carpeta confiable "C:\Windows\WinSxS". WinSxS, abreviatura de Windows lado a lado, es un componente crítico de Windows que se utiliza para la personalización y actualización del sistema operativo para garantizar la compatibilidad y la integridad.

"Este enfoque representa una aplicación novedosa en ciberseguridad: tradicionalmente, los atacantes se han basado en gran medida en técnicas bien conocidas como el secuestro de orden de búsqueda de DLL, un método que manipula cómo las aplicaciones de Windows cargan bibliotecas y ejecutables externos", Ido Naor, cofundador y CEO de Security Joes, dijo en un comunicado compartido con The Hacker News.

Los investigadores de seguridad han detallado una nueva variante de una técnica de secuestro de órdenes de búsqueda de biblioteca de enlaces dinámicos (DLL) que los actores de amenazas podrían utilizar para eludir los mecanismos de seguridad y lograr la ejecución de código malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11.

El enfoque "aprovecha los ejecutables que se encuentran comúnmente en la carpeta confiable WinSxS y los explota a través de la técnica clásica de secuestro de orden de búsqueda de DLL", dijo la firma de ciberseguridad Security Joes en un nuevo informe compartido exclusivamente con The Hacker News.

"Nuestro descubrimiento se desvía de este camino y revela un método de explotación más sutil y sigiloso".

La idea, en pocas palabras, es encontrar archivos binarios vulnerables en la carpeta WinSxS (por ejemplo, ngentask.exe y aspnet_wp.exe) y combinarlos con los métodos habituales de secuestro del orden de búsqueda de DLL colocando estratégicamente una DLL personalizada con el mismo nombre que la DLL legítima en un directorio controlado por el actor para lograr la ejecución del código.

Como resultado, simplemente ejecutar un archivo vulnerable en la carpeta WinSxS configurando la carpeta personalizada que contiene la DLL maliciosa como el directorio actual es suficiente para activar la ejecución del contenido de la DLL sin tener que copiar el ejecutable de la carpeta WinSxS.

Security Joes advirtió que podría haber archivos binarios adicionales en la carpeta WinSxS que son susceptibles a este tipo de secuestro de orden de búsqueda de DLL, lo que requiere que las organizaciones tomen las precauciones adecuadas para mitigar el método de explotación dentro de sus entornos.

"Examine las relaciones padre-hijo entre procesos, con un enfoque específico en binarios confiables", dijo la compañía. "Supervise de cerca todas las actividades realizadas por los archivos binarios que residen en la carpeta WinSxS, centrándose tanto en las comunicaciones de red como en las operaciones de archivos".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario