Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La società di sicurezza informatica Security Joes ha identificato una nuova variante di un metodo per intercettare l’ordine di ricerca delle librerie DLL, che può essere utilizzato dagli aggressori per aggirare i meccanismi di sicurezza.
Questo metodo permette di eseguire codice dannoso sui sistemi che eseguono Windows 10 e Windows 11.
Secondo il rapporto, il nuovo approccio consiste nell’utilizzare gli eseguibili della cartella attendibile di WinSxS e sfruttarli utilizzando la classica tecnica di spoofing dell’ordine di ricerca DLL. L’approccio consente a un criminale informatico di eliminare la necessità di elevare i privilegi quando tenta di eseguire codice dannoso su un computer compromesso.
È possibile quindi introdurre file binari potenzialmente vulnerabili nella catena di attacco.
Il dirottamento dell’ordine di ricerca DLL implica la manipolazione dell’ordine di ricerca utilizzato per caricare una DLL per eseguire payload dannosi ed elevare i privilegi. Tali attacchi prendono di mira le applicazioni che non specificano il percorso completo delle librerie di cui hanno bisogno, ma si affidano invece a un ordine di ricerca predefinito per trovare le DLL richieste sul disco.
Gli aggressori sfruttano questo comportamento spostando i file binari di sistema legittimi in directory non standard che contengono DLL dannose con gli stessi nomi di quelle legittime, in modo che venga selezionata la libreria dannosa anziché la DLL reale.
Security Joes avverte che potrebbero esserci più file binari nella cartella WinSxS che sono suscettibili a questo tipo di spoofing dell’ordine di ricerca DLL, richiedendo alle organizzazioni di prendere le precauzioni appropriate per evitare che questa tecnica di sfruttamento si verifichi nei loro ambienti.
L’azienda consiglia di monitorare attentamente tutte le attività eseguite sui file binari situati nella cartella WinSxS, concentrandosi sia sulle comunicazioni di rete che sulle operazioni sui file.
