Злоумышленник может выполнить произвольный код без повышения привилегий.
ИБ-компания Security Joes выявила новый вариант метода перехвата порядка поиска DLL-библиотек, который может быть использован злоумышленниками для обхода защитных механизмов и выполнения вредоносного кода на системах, работающих под управлением Windows 10 и Windows 11.
Согласно отчету Security Joes, новый подход заключается в использовании исполняемых файлов из доверенной папки WinSxS и эксплуатации их с помощью классической техники подмены порядка поиска DLL. Подход позволяет киберпреступнику избавиться от необходимости повышения привилегий при попытке запустить вредоносный код на скомпрометированном компьютере, а также внедрять потенциально уязвимые бинарные файлы в цепочку атаки.
Техника подмены порядка поиска DLL (DLL Search Order Hijacking) включает манипулирование порядком поиска, используемым для загрузки DLL, с целью выполнения вредоносных полезных нагрузок для обхода защиты, сохранения и повышения привилегий. Подобные атаки нацелены на приложения, которые не указывают полный путь к необходимым им библиотекам, а вместо этого опираются на предопределенный порядок поиска для поиска необходимых DLL на диске.
Злоумышленники используют такое поведение, перемещая легитимные системные бинарные файлы в нестандартные каталоги, которые содержат вредоносные DLL с именами, совпадающими с законными, так что вредоносная библиотека выбирается вместо настоящей DLL.
Security Joes предупреждает, что в папке WinSxS может быть больше бинарных файлов, подверженных такой подмене порядка поиска DLL, что требует от организаций принятия соответствующих мер предосторожности для предотвращения использования этого метода эксплуатации в их средах.
Компания рекомендует внимательно отслеживать все активности, выполняемые бинарными файлами, находящимися в папке WinSxS, сосредотачиваясь как на сетевых коммуникациях, так и на операциях с файлами.