DLL 搜索顺序劫持技术新变种曝光,可在 Win10、Win11 上执行恶意代码
IT 之家 1 月 2 日消息,网络安全公司 Security Joes 近日发布报告,发现了动态链接库(DLL)搜索顺序劫持技术的新变种技术,可以绕过各种安全机制,在 Win10、Win11 系统上执行恶意代码。
报告称该 DLL 漏洞技术利用了受信任的 WinSxS 文件夹中常见的可执行文件,并通过 DLL 搜索顺序劫持技术,在不需要提升权限的情况下,植入和运行恶意代码。IT 之家附上视频如下:
动态链接库(DLL)搜索顺序劫持技术,就是利用加载 DLL 的搜索顺序来执行恶意有效载荷,以达到逃避防御、持久化和权限升级的目的。
具体来说,利用这种技术的攻击只针对那些没有指定所需库函数完整路径的应用程序,而是依靠预定义的搜索顺序在磁盘上找到所需的 DLL。
攻击者的方式是将合法的系统安装文件转移到非标准目录中,其中包括以合法文件命名的恶意 DLL,从而调用包含攻击代码的库。
Security Joes 设计的这一新奇的转折点针对的是位于可信的“C:\Windows\WinSxS”文件夹中的文件。
WinSxS 是 Windows side-by-side 的缩写,是一个重要的 Windows 组件,用于定制和更新操作系统,以确保兼容性和完整性。
其入侵原理是在 WinSxS 文件夹中找到易受攻击的安装文件(如 ngentask.exe 和 aspnet_wp.exe),结合常规的 DLL 搜索顺序劫持方法,有策略地将与合法 DLL 同名的自定义 DLL 放入目录中,从而实现执行代码。
攻击者只需要将包含恶意 DLL 的自定义文件夹设置为当前目录,在 WinSxS 文件夹中执行有漏洞的文件,就可以执行触发 DLL 内容,整个过程不需要将可执行文件从 WinSxS 文件夹复制到该文件夹中。