You have not selected any currencies to display

Bl0ckch41nnewsNueva variante del secuestro de orden de búsqueda de DLL evita las protecciones de Windows 10 y 11

Information security
Por bl0ckch41nnews
83


Los investigadores de seguridad han detallado una nueva variante de una
técnica de secuestro de órdenes de búsqueda de biblioteca de enlaces dinámicos
(DLL) que los actores de amenazas podrían utilizar para eludir los mecanismos
de seguridad y lograr la ejecución de código malicioso en sistemas que
ejecutan Microsoft Windows 10 y Windows 11 (T1574).

El enfoque
«aprovecha los ejecutables que se encuentran comúnmente en la carpeta
confiable WinSxS y los explota a través de la técnica clásica de secuestro
de orden de búsqueda de DLL»,
dijo la firma de ciberseguridad Security Joes en un nuevo informe.

Al hacerlo, permite a los adversarios eliminar la necesidad de privilegios
elevados cuando intentan ejecutar código dañino en una máquina comprometida,
así como introducir archivos binarios potencialmente vulnerables en la cadena
de ataque.

El secuestro del orden de búsqueda de DLL, como su nombre lo indica, implica
jugar con el orden de búsqueda utilizado para cargar archivos DLL con el fin
de ejecutar cargas útiles maliciosas con fines de evasión de defensa,
persistencia y escalamiento de privilegios.

Específicamente, los ataques que explotan la técnica señalan aplicaciones que
no especifican la ruta completa a las bibliotecas que necesitan y, en cambio,
se basan en un orden de búsqueda predefinido para localizar las DLL necesarias
en el disco.

Los actores de amenazas aprovechan este comportamiento moviendo archivos
binarios legítimos del sistema a directorios no estándar que incluyen archivos
DLL maliciosos que llevan el nombre de archivos legítimos, de modo que la
biblioteca que contiene el código de ataque se selecciona en lugar de este
último.

Esto, a su vez, funciona porque el proceso que llama a la DLL buscará primero
en el directorio desde el que se está ejecutando antes de iterar
recursivamente a través de otras ubicaciones en un orden particular para
localizar y cargar el recurso en cuestión.

En otras palabras, el orden de búsqueda es el siguiente:

Relacionados

Bl0ckch41nnewsVulnerabilidad crítica en VirtualBox y…

Bl0ckch41nnewsMalware RedLine Stealer abusa de repos…

Bl0ckch41nnewsMITRE dice que atacantes estatales…

El directorio desde el que se inicia la aplicación.

  • La carpeta «C:WindowsSystem32»
  • La carpeta «C:WindowsSystem»
  • La carpeta «C:Windows»
  • El directorio de trabajo actual
  • Directorios enumerados en la variable de entorno PATH del sistema
  • Directorios enumerados en la variable de entorno PATH del usuario

El novedoso giro ideado por Security Joes apunta a archivos ubicados en la
carpeta confiable «C:WindowsWinSxS». WinSxS, abreviatura de
Windows Side by Side, es un componente crítico de Windows que se
utiliza para la personalización y actualización del sistema operativo para
garantizar la compatibilidad y la integridad.

«Este enfoque representa una aplicación novedosa en ciberseguridad:
tradicionalmente, los atacantes se han basado en gran medida en técnicas
bien conocidas como el secuestro de orden de búsqueda de DLL, un método que
manipula cómo las aplicaciones de Windows cargan bibliotecas y ejecutables
externos», dijo Ido Naor, cofundador y CEO de Security Joes. «Nuestro descubrimiento se desvía de este camino y revela un método de
explotación más sutil y sigiloso».

La idea, en pocas palabras, es encontrar archivos binarios vulnerables en la
carpeta WinSxS (por ejemplo, ngentask.exe y aspnet_wp.exe) y
combinarlos con los métodos habituales de secuestro del orden de búsqueda de
DLL colocando estratégicamente una DLL personalizada con el mismo nombre que
la DLL legítima en un directorio controlado por el actor para lograr la
ejecución del código.

Como resultado, simplemente ejecutar un archivo vulnerable en la carpeta
WinSxS configurando la carpeta personalizada que contiene la DLL maliciosa
como el directorio actual es suficiente para activar la ejecución del
contenido de la DLL sin tener que copiar el ejecutable de la carpeta WinSxS.

Security Joes advirtió que podría haber archivos binarios adicionales en la
carpeta WinSxS que son susceptibles a este tipo de secuestro de orden de
búsqueda de DLL, lo que requiere que las organizaciones tomen las precauciones
adecuadas para mitigar el método de explotación dentro de sus entornos.

«Examine las relaciones padre-hijo entre procesos, con un enfoque
específico en binarios confiables», dijo la compañía.
«Supervise de cerca todas las actividades realizadas por los archivos
binarios que residen en la carpeta WinSxS, centrándose tanto en las
comunicaciones de red como en las operaciones de archivos».

Fuente:
THN



Source link

bl0ckch41nnews
También podría gustarte Más del autor

Los comentarios están cerrados.