2 ene 2024

Nueva variante del secuestro de orden de búsqueda de DLL evita las protecciones de Windows 10 y 11

Los investigadores de seguridad han detallado una nueva variante de una técnica de secuestro de órdenes de búsqueda de biblioteca de enlaces dinámicos (DLL) que los actores de amenazas podrían utilizar para eludir los mecanismos de seguridad y lograr la ejecución de código malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11 (T1574).

El enfoque "aprovecha los ejecutables que se encuentran comúnmente en la carpeta confiable WinSxS y los explota a través de la técnica clásica de secuestro de orden de búsqueda de DLL", dijo la firma de ciberseguridad Security Joes en un nuevo informe.

Al hacerlo, permite a los adversarios eliminar la necesidad de privilegios elevados cuando intentan ejecutar código dañino en una máquina comprometida, así como introducir archivos binarios potencialmente vulnerables en la cadena de ataque.

El secuestro del orden de búsqueda de DLL, como su nombre lo indica, implica jugar con el orden de búsqueda utilizado para cargar archivos DLL con el fin de ejecutar cargas útiles maliciosas con fines de evasión de defensa, persistencia y escalamiento de privilegios.

Específicamente, los ataques que explotan la técnica señalan aplicaciones que no especifican la ruta completa a las bibliotecas que necesitan y, en cambio, se basan en un orden de búsqueda predefinido para localizar las DLL necesarias en el disco.

Los actores de amenazas aprovechan este comportamiento moviendo archivos binarios legítimos del sistema a directorios no estándar que incluyen archivos DLL maliciosos que llevan el nombre de archivos legítimos, de modo que la biblioteca que contiene el código de ataque se selecciona en lugar de este último.

Esto, a su vez, funciona porque el proceso que llama a la DLL buscará primero en el directorio desde el que se está ejecutando antes de iterar recursivamente a través de otras ubicaciones en un orden particular para localizar y cargar el recurso en cuestión.

En otras palabras, el orden de búsqueda es el siguiente:

El directorio desde el que se inicia la aplicación.

  • La carpeta "C:\Windows\System32"
  • La carpeta "C:\Windows\System"
  • La carpeta "C:\Windows"
  • El directorio de trabajo actual
  • Directorios enumerados en la variable de entorno PATH del sistema
  • Directorios enumerados en la variable de entorno PATH del usuario

El novedoso giro ideado por Security Joes apunta a archivos ubicados en la carpeta confiable "C:\Windows\WinSxS". WinSxS, abreviatura de Windows Side by Side, es un componente crítico de Windows que se utiliza para la personalización y actualización del sistema operativo para garantizar la compatibilidad y la integridad.

"Este enfoque representa una aplicación novedosa en ciberseguridad: tradicionalmente, los atacantes se han basado en gran medida en técnicas bien conocidas como el secuestro de orden de búsqueda de DLL, un método que manipula cómo las aplicaciones de Windows cargan bibliotecas y ejecutables externos", dijo Ido Naor, cofundador y CEO de Security Joes. "Nuestro descubrimiento se desvía de este camino y revela un método de explotación más sutil y sigiloso".

La idea, en pocas palabras, es encontrar archivos binarios vulnerables en la carpeta WinSxS (por ejemplo, ngentask.exe y aspnet_wp.exe) y combinarlos con los métodos habituales de secuestro del orden de búsqueda de DLL colocando estratégicamente una DLL personalizada con el mismo nombre que la DLL legítima en un directorio controlado por el actor para lograr la ejecución del código.

Como resultado, simplemente ejecutar un archivo vulnerable en la carpeta WinSxS configurando la carpeta personalizada que contiene la DLL maliciosa como el directorio actual es suficiente para activar la ejecución del contenido de la DLL sin tener que copiar el ejecutable de la carpeta WinSxS.

Security Joes advirtió que podría haber archivos binarios adicionales en la carpeta WinSxS que son susceptibles a este tipo de secuestro de orden de búsqueda de DLL, lo que requiere que las organizaciones tomen las precauciones adecuadas para mitigar el método de explotación dentro de sus entornos.

"Examine las relaciones padre-hijo entre procesos, con un enfoque específico en binarios confiables", dijo la compañía. "Supervise de cerca todas las actividades realizadas por los archivos binarios que residen en la carpeta WinSxS, centrándose tanto en las comunicaciones de red como en las operaciones de archivos".

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!