Nova Variante de Sequestro de Ordem de Busca DLL Bypassa Proteções do Windows 10 e 11
3 de Janeiro de 2024

Pesquisadores de segurança detalharam uma nova variante de uma técnica de sequestro de ordem de pesquisa de biblioteca de link dinâmico (DLL) que poderia ser usada por atores de ameaças para contornar mecanismos de segurança e alcançar a execução de código malicioso em sistemas que executam o Microsoft Windows 10 e Windows 11.

A abordagem "aproveita executáveis comumente encontrados na pasta confiável WinSxS e os explora através da clássica técnica de sequestro de ordem de pesquisa de DLL", disse a empresa de segurança cibernética Security Joes em um novo relatório compartilhado exclusivamente com o The Hacker News.

Ao fazer isso, permite aos adversários eliminar a necessidade de privilégios elevados ao tentar executar código nefasto em uma máquina comprometida, além de introduzir binários potencialmente vulneráveis na cadeia de ataque, como observado no passado.

O sequestro de ordem de pesquisa de DLL, como o nome indica, envolve manipular a ordem de pesquisa usada para carregar DLLs a fim de executar cargas úteis maliciosas para fins de evasão de defesa, persistência e escalonamento de privilégios.

Especificamente, ataques que exploram a técnica destacam aplicações que não especificam o caminho completo para as bibliotecas de que necessitam, e em vez disso, dependem de uma ordem de pesquisa predefinida para localizar as DLLs necessárias no disco.

Os atores de ameaças tiram proveito deste comportamento, movendo binários de sistema legítimos para diretórios não padrão que incluem DLLs maliciosas que são nomeadas após as legítimas, para que a biblioteca contendo o código de ataque seja escolhida no lugar desta última.

Isso, por sua vez, funciona porque o processo que chama a DLL procurará no diretório de onde está executando primeiro antes de iterar recursivamente através de outros locais em uma ordem específica para localizar e carregar o recurso em questão.

Para colocá-lo em outras palavras, a ordem de pesquisa é a seguinte -

O diretório de onde a aplicação é lançada
A pasta "C:\Windows\System32"
A pasta "C:\Windows\System"
A pasta "C:\Windows"
O diretório de trabalho atual
Diretórios listados na variável de ambiente PATH do sistema
Diretórios listados na variável de ambiente PATH do usuário

A nova reviravolta concebida pela Security Joes tem como alvo arquivos localizados na pasta confiável "C:\Windows\WinSxS".

Abreviação para Windows side-by-side, o WinSxS é um componente crítico do Windows que é usado para a customização e atualização do sistema operacional para garantir compatibilidade e integridade.

"Esta abordagem representa uma nova aplicação em segurança cibernética: tradicionalmente, os atacantes têm se apoiado em técnicas bem conhecidas como o sequestro de ordem de pesquisa de DLL, um método que manipula como as aplicações do Windows carregam bibliotecas e executáveis externos", disse Ido Naor, co-fundador e CEO da Security Joes, em uma declaração compartilhada com o The Hacker News.

"Nossa descoberta diverge deste caminho, revelando um método de exploração mais sutil e furtivo."

A ideia, em resumo, é encontrar binários vulneráveis na pasta WinSxS (por exemplo, ngentask.exe e aspnet_wp.exe) e combiná-la com os métodos regulares de sequestro de ordem de pesquisa de DLL, colocando estrategicamente uma DLL personalizada com o mesmo nome da DLL legítima em um diretório controlado pelo ator para alcançar a execução de código.

Como resultado, simplesmente executar um arquivo vulnerável na pasta WinSxS, lançando uma linha de comando a partir de um shell com a pasta personalizada contendo a DLL rogue como o local atual do diretório, é suficiente para acionar a execução do conteúdo da DLL sem ter que copiar o executável da pasta WinSxS para ele.

A Security Joes alertou que pode haver binários adicionais na pasta WinSxS que são suscetíveis a este tipo de sequestro de ordem de pesquisa de DLL, tornando necessário que as organizações tomem precauções adequadas para mitigar o método de exploração dentro de seus ambientes.

"Examine as relações entre os processos pai-filho, com foco específico nos binários confiáveis", disse a empresa.

"Monitore atentamente todas as atividades realizadas pelos binários residentes na pasta WinSxS, focando tanto nas comunicações de rede quanto nas operações de arquivo."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...