Ataques de sequestro de DLL visam componente crítico do Windows
Pesquisadores de segurança detalharam uma nova variante de uma técnica de sequestro da ordem de busca de bibliotecas de vínculo dinâmico (DLL) que pode ser usada por atores de ameaças para burlar mecanismos de segurança e alcançar a execução de código malicioso em sistemas que executam o Microsoft Windows 10 e Windows 11.
A abordagem aproveita executáveis comumente encontrados na pasta confiável WinSxS e os explora por meio da clássica técnica de sequestro da ordem de busca de DLL. Ao fazer isso, permite que os adversários eliminem a necessidade de privilégios elevados ao tentar executar código nefasto em uma máquina comprometida, além de introduzir binários potencialmente vulneráveis na cadeia de ataque, como observado no passado.
O sequestro da ordem de busca de DLL, como o nome indica, envolve manipular a ordem de busca usada para carregar DLLs a fim de executar cargas maliciosas para fins de evasão de defesa, persistência e escalaçâo de privilégios. Especificamente, ataques que exploram a técnica visam aplicações que não especificam o caminho completo para as bibliotecas de que necessitam, e, em vez disso, dependem de uma ordem de busca predefinida para localizar as DLLs necessárias no disco.
Os atores de ameaças tiram vantagem desse comportamento movendo binários legítimos do sistema para diretórios não padrão que incluem DLLs maliciosas com nomes de DLLs legítimas, de modo que a biblioteca contendo o código de ataque seja escolhida no lugar desta última.
A nova abordagem tem como alvo arquivos localizados na pasta confiável “C:\Windows\WinSxS”. WinSxS, abreviação de Windows side-by-side, é um componente crítico do Windows usado para a personalização e atualização do sistema operacional para garantir compatibilidade e integridade.
Fonte: BoletimSec
Publicado em: Cybersegurança