IT 之家 1 月 2 日消息,网络安全公司 Security Joes 近日发布报告,发现了动态链接库(DLL)搜索顺序劫持技术的新变种技术,可以绕过各种安全机制,在 Win10、Win11 系统上执行恶意代码。
报告称该 DLL 漏洞技术利用了受信任的 WinSxS 文件夹中常见的可执行文件,并通过 DLL 搜索顺序劫持技术,在不需要提升权限的情况下,植入和运行恶意代码。IT 之家附上视频如下:
动态链接库(DLL)搜索顺序劫持技术,就是利用加载 DLL 的搜索顺序来执行恶意有效载荷,以达到逃避防御、持久化和权限升级的目的。
具体来说,利用这种技术的攻击只针对那些没有指定所需库函数完整路径的应用程序,而是依靠预定义的搜索顺序在磁盘上找到所需的 DLL。
攻击者的方式是将合法的系统安装文件转移到非标准目录中,其中包括以合法文件命名的恶意 DLL,从而调用包含攻击代码的库。
Security Joes 设计的这一新奇的转折点针对的是位于可信的“C:/Windows/WinSxS”文件夹中的文件。
WinSxS 是 Windows side-by-side 的缩写,是一个重要的 Windows 组件,用于定制和更新操作系统,以确保兼容性和完整性。
其入侵原理是在 WinSxS 文件夹中找到易受攻击的安装文件(如 ngentask.exe 和 aspnet_wp.exe),结合常规的 DLL 搜索顺序劫持方法,有策略地将与合法 DLL 同名的自定义 DLL 放入目录中,从而实现执行代码。
攻击者只需要将包含恶意 DLL 的自定义文件夹设置为当前目录,在 WinSxS 文件夹中执行有漏洞的文件,就可以执行触发 DLL 内容,整个过程不需要将可执行文件从 WinSxS 文件夹复制到该文件夹中。
本文链接:http://www.28at.com/showinfo-119-56006-0.htmlDLL 搜索顺序劫持技术新变种曝光,可在 Win10、Win11 上执行恶意代码
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。邮件:2376512515@qq.com
Copyright © 2016-2023 天津谷骐科技有限公司 版权所有 sitemap.xml
违法及侵权请联系:2376512515@qq.com 津ICP备18001702号
津公网安备 12010102000574号
