Новый вектор подмены DLL обходит защиту в Windows 10 и 11

Олег Иванов 03 Января 2024 - 15:20

...

Эксперты описали новый вектор кибератаки, в котором используется перехват порядка поиска DLL-файлов для обхода защитных механизмов и выполнения вредоносного кода в системах Windows 10 и Windows 11.

В отчёте компании Security Joes исследователи объясняют, что новый метод задействует исполняемые файлы, которые часто можно найти в доверенной директории WinSxS, после чего использует их в классической схеме перехвата порядка поиска библиотек.

В результате у атакующих не только отпадает необходимость повышать права в системе, но и появляется возможность добавить уязвимые бинарники в цепочку атаки.

Метод перехвата порядка поиска DLL позволяет злоумышленникам подсовывать библиотеки с целью выполнить вредоносный код. Наиболее очевидным плюсом этой техники для киберпреступников является обход защитных средств и одновременное повышение привилегий в системе.

Для успешной эксплуатации атакующим нужны приложения, не указывающие полный путь к нужным DLL, а полагающиеся в первую очередь на порядок поиска библиотек.

Злоумышленники берут этот принцип на вооружение, перемещая системные файлы в нетипичные для них директории, где уже содержатся вредоносные DLL с именами легитимных. Таким образом происходит подмена безобидной библиотеки злонамеренной.

Такой подход работает ещё и по той причине, что вызывающий DLL процесс будет искать её в первую очередь в той директории, из которой запускается сам. Сам порядок такого поиска выглядит следующим образом:

Проверяется папка, из которой стартует программа.
Далее — C:\Windows\System32.
C:\Windows\System.
C:\Windows.
Текущая директория.
Папки, перечисленные в переменной среды системы PATH.
Папки, перечисленные в переменной среды PATH пользователя.

Новый вектор, на который обратили внимание в Security Joes, атакует файлы, размещённые в директории C:\Windows\WinSxS — критически важном компоненте операционной системы, который используется для кастомизации и обновления ОС, а также для проверки совместимости и целостности.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 16:40

Соответствие законодательству РФ Корпорации Государство

Роскомнадзор аннулировал почти 2 тыс. лицензий операторов связи

Роскомнадзор устроил чистку на телеком-рынке: регулятор аннулировал 1967 лицензий операторов связи. Формальная причина — нарушение требований к отчётности. Речь идёт о случаях, когда операторы либо вообще не сдавали обязательные сведения о своей работе, либо передавали неполные или недостоверные данные.

Такие основания действительно предусмотрены законом «О связи». Больше всего аннулированных лицензий, по приведённым данным, пришлось на Москву и Подмосковье.

Дальше идут Санкт-Петербург и Ленинградская область, Краснодарский край, Иркутская и Свердловская области.

Среди компаний, которые сильнее других попали под раздачу, называются «Бридж Телеком», «Озон Телеком», «Информационный центр», «Аффло», «Инфоспектр», «Экосистем», «Ладья», «Медиа-Групп “Регион”» и «Ресурстранзит» — у каждой аннулировали по семь лицензий. Чуть ниже в этом списке — ТЛК и «Синтез Телеком».

И всё это происходит на фоне обсуждения куда более жёсткой реформы. По данным «Известий», Минцифры и участники рынка уже обсуждают новые правила выдачи лицензий на услуги связи.

Среди идей — разделение лицензий на три типа, рост стоимости входа на рынок до 1-50 млн рублей в зависимости от категории, отказ в выдаче лицензий индивидуальным предпринимателям, а также более суровые санкции за повторные грубые нарушения.

Если эти предложения дойдут до реализации, телеком-рынок может стать более агрессивным для небольших и региональных игроков, а нынешнее аннулирование лицензий вполне может оказаться не разовой историей, а частью более широкой тенденции: рынок связи в России постепенно делают более жёстко регулируемым и более дорогим для входа.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!