Nieuwe variant van DLL-zoekvolgorde-kaping omzeilt Windows 10- en 11-beveiligingen

Cyberbeveiliging
DLL Search Order Hijacking

Beveiligingsonderzoekers hebben een nieuwe variant van een DLL-zoekopdrachtkapingtechniek (Dynamic Link Library) beschreven die door bedreigingsactoren kan worden gebruikt om beveiligingsmechanismen te omzeilen en de uitvoering van kwaadaardige code te bewerkstelligen op systemen met Microsoft Windows 10 en Windows 11.

De aanpak “maakt gebruik van uitvoerbare bestanden die vaak worden aangetroffen in de vertrouwde WinSxS-map en exploiteert deze via de klassieke techniek voor het kapen van DLL-zoekopdrachten”, aldus cyberbeveiligingsbedrijf Security Joes in een nieuw rapport dat exclusief is gedeeld met The Hacker News.

Door dit te doen, kunnen tegenstanders de noodzaak van verhoogde rechten elimineren bij pogingen om snode code uit te voeren op een gecompromitteerde machine, en kunnen potentieel kwetsbare binaire bestanden in de aanvalsketen worden geïntroduceerd, zoals in het verleden is waargenomen.

Bij het kapen van DLL-zoekopdrachten gaat het, zoals de naam al aangeeft, om het gamen van de zoekvolgorde die wordt gebruikt om DLL’s te laden om kwaadaardige payloads uit te voeren met het oog op het ontduiken van de verdediging, doorzettingsvermogen en escalatie van bevoegdheden.

Met name aanvallen die deze techniek misbruiken, richten zich op toepassingen die niet het volledige pad specificeren naar de bibliotheken die ze nodig hebben, en in plaats daarvan vertrouwen op een vooraf gedefinieerde zoekvolgorde om de benodigde DLL’s op schijf te lokaliseren.

Bedreigingsactoren profiteren van dit gedrag door legitieme binaire bestanden van het systeem te verplaatsen naar niet-standaard mappen die kwaadaardige DLL’s bevatten die zijn vernoemd naar legitieme bestanden, zodat de bibliotheek met de aanvalscode wordt opgepikt in plaats van de laatstgenoemde.

DLL-zoekvolgorde kaping

Dit werkt op zijn beurt omdat het proces dat de DLL aanroept eerst in de map zoekt die het uitvoert voordat het recursief door andere locaties in een bepaalde volgorde itereert om de betreffende bron te lokaliseren en te laden. Met andere woorden: de zoekvolgorde is als volgt:

  1. De map van waaruit de toepassing wordt gestart
  2. De map “C:WindowsSystem32”
  3. De map “C:WindowsSystem”
  4. De map “C:Windows”
  5. De huidige werkmap
  6. Directory’s die worden vermeld in de omgevingsvariabele PATH van het systeem
  7. Directory’s die worden vermeld in de omgevingsvariabele PATH van de gebruiker

De nieuwe twist bedacht door Security Joes richt zich op bestanden die zich in de vertrouwde map “C:WindowsWinSxS” bevinden. WinSxS, een afkorting voor Windows side-by-side, is een essentieel Windows-onderdeel dat wordt gebruikt voor het aanpassen en updaten van het besturingssysteem om compatibiliteit en integriteit te garanderen.

“Deze aanpak vertegenwoordigt een nieuwe toepassing op het gebied van cyberbeveiliging: traditioneel vertrouwen aanvallers grotendeels op bekende technieken zoals het kapen van DLL-zoekopdrachten, een methode die manipuleert hoe Windows-applicaties externe bibliotheken en uitvoerbare bestanden laden”, zegt Ido Naor, medeoprichter en CEO van Security Joes, zei in een verklaring gedeeld met The Hacker News.

“Onze ontdekking wijkt af van dit pad en onthult een subtielere en sluipende exploitatiemethode.”

Het idee is, in een notendop, om kwetsbare binaire bestanden in de WinSxS-map te vinden (bijvoorbeeld ngentask.exe en aspnet_wp.exe) en deze te combineren met de reguliere methoden voor het kapen van DLL-zoekopdrachten door strategisch een aangepaste DLL te plaatsen met dezelfde naam als de legitieme DLL in een door een acteur bestuurde map om code-uitvoering te bewerkstelligen.

Als gevolg hiervan is het eenvoudigweg uitvoeren van een kwetsbaar bestand in de WinSxS-map door de aangepaste map met de frauduleuze DLL in te stellen als de huidige map voldoende om de uitvoering van de inhoud van het DLL-bestand te activeren zonder dat u het uitvoerbare bestand uit de WinSxS-map ernaar hoeft te kopiëren.

Beveiliging Joes waarschuwde dat er extra binaire bestanden in de WinSxS-map zouden kunnen staan ​​die vatbaar zijn voor dit soort DLL-zoekvolgorde-kaping, waardoor organisaties adequate voorzorgsmaatregelen moeten nemen om de exploitatiemethode binnen hun omgevingen te beperken.

“Onderzoek ouder-kindrelaties tussen processen, met een specifieke focus op vertrouwde binaire bestanden”, aldus het bedrijf. “Bewaak nauwlettend alle activiteiten die worden uitgevoerd door de binaire bestanden die zich in de WinSxS-map bevinden, waarbij de nadruk ligt op zowel netwerkcommunicatie als bestandsbewerkingen.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Door een nieuwe Terrapin-fout kunnen aanvallers de beveiliging van het SSH-protocol downgraden

Het Galaxy S24-lek onthult een AI-aangedreven fotobewerkingstool

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]