Новый вектор подмены DLL обходит защиту в Windows 10 и 11

Олег Иванов 03 Января 2024 - 15:20

...

Эксперты описали новый вектор кибератаки, в котором используется перехват порядка поиска DLL-файлов для обхода защитных механизмов и выполнения вредоносного кода в системах Windows 10 и Windows 11.

В отчёте компании Security Joes исследователи объясняют, что новый метод задействует исполняемые файлы, которые часто можно найти в доверенной директории WinSxS, после чего использует их в классической схеме перехвата порядка поиска библиотек.

В результате у атакующих не только отпадает необходимость повышать права в системе, но и появляется возможность добавить уязвимые бинарники в цепочку атаки.

Метод перехвата порядка поиска DLL позволяет злоумышленникам подсовывать библиотеки с целью выполнить вредоносный код. Наиболее очевидным плюсом этой техники для киберпреступников является обход защитных средств и одновременное повышение привилегий в системе.

Для успешной эксплуатации атакующим нужны приложения, не указывающие полный путь к нужным DLL, а полагающиеся в первую очередь на порядок поиска библиотек.

Злоумышленники берут этот принцип на вооружение, перемещая системные файлы в нетипичные для них директории, где уже содержатся вредоносные DLL с именами легитимных. Таким образом происходит подмена безобидной библиотеки злонамеренной.

Такой подход работает ещё и по той причине, что вызывающий DLL процесс будет искать её в первую очередь в той директории, из которой запускается сам. Сам порядок такого поиска выглядит следующим образом:

Проверяется папка, из которой стартует программа.
Далее — C:\Windows\System32.
C:\Windows\System.
C:\Windows.
Текущая директория.
Папки, перечисленные в переменной среды системы PATH.
Папки, перечисленные в переменной среды PATH пользователя.

Новый вектор, на который обратили внимание в Security Joes, атакует файлы, размещённые в директории C:\Windows\WinSxS — критически важном компоненте операционной системы, который используется для кастомизации и обновления ОС, а также для проверки совместимости и целостности.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 01 Декабря 2025 - 17:24

Ошибки конфигурации программ Сбои программ Домашние пользователи Корпорации

В России окирпичились сотни автомобилей Porshe

Российские владельцы автомобилей Porsche столкнулись с массовой проблемой — машины неожиданно перестают заводиться. По данным дилеров, причина связана со сбоем в работе коммуникационных систем, однако не исключены и неполадки в системах безопасности. Количество подобных случаев уже исчисляется сотнями, и инциденты фиксируются по всей стране.

О ситуации сообщило издание Naavtotrasse со ссылкой на источники на автомобильном рынке.

Не исключено, что часть владельцев пока не обращалась к дилерам, поэтому масштабы проблемы могут быть выше.

На данный момент единственный способ «оживить» автомобиль своими силами — полностью отключить аккумулятор как минимум на 10 часов. Быстро решить проблему без помощи официального сервисного центра не удаётся. Официальных комментариев от Porsche пока не последовало.

Похожая ситуация уже возникала в июне, когда владельцы китайских электромобилей Lixiang, ввезённых по «серым» схемам, столкнулись с аналогичными сбоями. Разблокировка через неофициальные каналы оказалась дорогой и далеко не всегда успешной.

В целом, по данным исследования АО «ГЛОНАСС», за первые восемь месяцев 2025 года число атак на автомобили в России выросло на 20%. Более чем в 90% случаев речь идёт об удалённом воздействии.

Основной целью злоумышленников являлось дистанционное управление транспортом или его угон. В конце ноября АО «ГЛОНАСС» выявило ряд опасных уязвимостей в бортовых системах электробусов и высокоавтоматизированных грузовиков.

Новый вектор подмены DLL обходит защиту в Windows 10 и 11

Читайте также