Новый вектор подмены DLL обходит защиту в Windows 10 и 11
Главная » Новости

Новый вектор подмены DLL обходит защиту в Windows 10 и 11

Олег Иванов 03 Января 2024 - 15:20
...
Новый вектор подмены DLL обходит защиту в Windows 10 и 11

Эксперты описали новый вектор кибератаки, в котором используется перехват порядка поиска DLL-файлов для обхода защитных механизмов и выполнения вредоносного кода в системах Windows 10 и Windows 11.

В отчёте компании Security Joes исследователи объясняют, что новый метод задействует исполняемые файлы, которые часто можно найти в доверенной директории WinSxS, после чего использует их в классической схеме перехвата порядка поиска библиотек.

В результате у атакующих не только отпадает необходимость повышать права в системе, но и появляется возможность добавить уязвимые бинарники в цепочку атаки.

Метод перехвата порядка поиска DLL позволяет злоумышленникам подсовывать библиотеки с целью выполнить вредоносный код. Наиболее очевидным плюсом этой техники для киберпреступников является обход защитных средств и одновременное повышение привилегий в системе.

Для успешной эксплуатации атакующим нужны приложения, не указывающие полный путь к нужным DLL, а полагающиеся в первую очередь на порядок поиска библиотек.

Злоумышленники берут этот принцип на вооружение, перемещая системные файлы в нетипичные для них директории, где уже содержатся вредоносные DLL с именами легитимных. Таким образом происходит подмена безобидной библиотеки злонамеренной.

 

Такой подход работает ещё и по той причине, что вызывающий DLL процесс будет искать её в первую очередь в той директории, из которой запускается сам. Сам порядок такого поиска выглядит следующим образом:

  1. Проверяется папка, из которой стартует программа.
  2. Далее — C:\Windows\System32.
  3. C:\Windows\System.
  4. C:\Windows.
  5. Текущая директория.
  6. Папки, перечисленные в переменной среды системы PATH.
  7. Папки, перечисленные в переменной среды PATH пользователя.

Новый вектор, на который обратили внимание в Security Joes, атакует файлы, размещённые в директории C:\Windows\WinSxS — критически важном компоненте операционной системы, который используется для кастомизации и обновления ОС, а также для проверки совместимости и целостности.

Следующая главная новость »
AM LiveМашинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Песков: в Telegram фиксируют опасный для России контент
Екатерина Быстрова 24 Февраля 2026 - 13:00
Соответствие законодательству РФ Общее Системы контентной веб-фильтрации
Песков: в Telegram фиксируют опасный для России контент

В Telegram фиксируется большое количество контента, который «потенциально может представлять опасность для России». Об этом заявил пресс-секретарь президента РФ Дмитрий Песков, отвечая на вопросы журналистов.

«Фиксируется большое количество контента, который потенциально может представлять опасность для нашей страны», — отметил он, не уточнив, о каком именно контенте идёт речь и планируются ли дополнительные меры реагирования.

Напомним, с 10 февраля в России начали замедлять работу Telegram. В профильных ведомствах объясняли это тем, что мессенджеры стали одним из основных каналов для мошенничества, вымогательства, а также вовлечения граждан в диверсионную и террористическую деятельность.

На фоне замедления в информационном поле появились сообщения о возможной полной блокировке Telegram с 1 апреля.

По данным ряда источников, обсуждается сценарий полного ограничения доступа: якобы мессенджер может перестать загружаться как через мобильный интернет, так и через фиксированные сети.

Официального подтверждения этих планов на данный момент нет.

AM LiveМашинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!
Microsoft усилила защиту Windows 11 от заражения системных файлов
Новость
Microsoft усилила защиту Windows 11 от заражения системных ф...
Минцифры отказалось от обязательной российской криптографии в сетях 5G
Новость
Минцифры отказалось от обязательной российской криптографии...
Android 16 научился показывать, кто именно следит за вашей геолокацией
Новость
Android 16 научился показывать, кто именно следит за вашей г...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.