Новый способ взлома Windows 10 и 11 с помощью подмены DLL

ИБ-компания Security Joes выявила новый вариант метода перехвата порядка поиска DLL -библиотек, который может быть использован злоумышленниками для обхода защитных механизмов и выполнения вредоносного кода на системах, работающих под управлением Windows 10 и Windows 11.

Согласно отчету Security Joes, новый подход заключается в использовании исполняемых файлов из доверенной папки WinSxS и эксплуатации их с помощью классической техники подмены порядка поиска DLL. Подход позволяет киберпреступнику избавиться от необходимости повышения привилегий при попытке запустить вредоносный код на скомпрометированном компьютере, а также внедрять потенциально уязвимые бинарные файлы в цепочку атаки.

Техника подмены порядка поиска DLL ( DLL Search Order Hijacking ) включает манипулирование порядком поиска, используемым для загрузки DLL, с целью выполнения вредоносных полезных нагрузок для обхода защиты, сохранения и повышения привилегий. Подобные атаки нацелены на приложения, которые не указывают полный путь к необходимым им библиотекам, а вместо этого опираются на предопределенный порядок поиска для поиска необходимых DLL на диске.

Злоумышленники используют такое поведение, перемещая легитимные системные бинарные файлы в нестандартные каталоги, которые содержат вредоносные DLL с именами, совпадающими с законными, так что вредоносная библиотека выбирается вместо настоящей DLL.

Security Joes предупреждает, что в папке WinSxS может быть больше бинарных файлов, подверженных такой подмене порядка поиска DLL, что требует от организаций принятия соответствующих мер предосторожности для предотвращения использования этого метода эксплуатации в их средах.

Компания рекомендует внимательно отслеживать все активности, выполняемые бинарными файлами, находящимися в папке WinSxS, сосредотачиваясь как на сетевых коммуникациях, так и на операциях с файлами.