Новый вектор подмены DLL обходит защиту в Windows 10 и 11
Главная » Новости

Новый вектор подмены DLL обходит защиту в Windows 10 и 11

Олег Иванов 03 Января 2024 - 15:20
...
Новый вектор подмены DLL обходит защиту в Windows 10 и 11

Эксперты описали новый вектор кибератаки, в котором используется перехват порядка поиска DLL-файлов для обхода защитных механизмов и выполнения вредоносного кода в системах Windows 10 и Windows 11.

В отчёте компании Security Joes исследователи объясняют, что новый метод задействует исполняемые файлы, которые часто можно найти в доверенной директории WinSxS, после чего использует их в классической схеме перехвата порядка поиска библиотек.

В результате у атакующих не только отпадает необходимость повышать права в системе, но и появляется возможность добавить уязвимые бинарники в цепочку атаки.

Метод перехвата порядка поиска DLL позволяет злоумышленникам подсовывать библиотеки с целью выполнить вредоносный код. Наиболее очевидным плюсом этой техники для киберпреступников является обход защитных средств и одновременное повышение привилегий в системе.

Для успешной эксплуатации атакующим нужны приложения, не указывающие полный путь к нужным DLL, а полагающиеся в первую очередь на порядок поиска библиотек.

Злоумышленники берут этот принцип на вооружение, перемещая системные файлы в нетипичные для них директории, где уже содержатся вредоносные DLL с именами легитимных. Таким образом происходит подмена безобидной библиотеки злонамеренной.

 

Такой подход работает ещё и по той причине, что вызывающий DLL процесс будет искать её в первую очередь в той директории, из которой запускается сам. Сам порядок такого поиска выглядит следующим образом:

  1. Проверяется папка, из которой стартует программа.
  2. Далее — C:\Windows\System32.
  3. C:\Windows\System.
  4. C:\Windows.
  5. Текущая директория.
  6. Папки, перечисленные в переменной среды системы PATH.
  7. Папки, перечисленные в переменной среды PATH пользователя.

Новый вектор, на который обратили внимание в Security Joes, атакует файлы, размещённые в директории C:\Windows\WinSxS — критически важном компоненте операционной системы, который используется для кастомизации и обновления ОС, а также для проверки совместимости и целостности.

Следующая главная новость »
AM LiveРоссийские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Госдума приняла законопроект о запрете передачи ПДн в небезопасные страны
Яков Шпунт 11 Декабря 2025 - 09:44
Соответствие законодательству РФ Общее Защита персональных данныхСоответствие требованиям регуляторов
Госдума приняла законопроект о запрете передачи ПДн в небезопасные страны

Госдума на пленарном заседании 10 декабря приняла в первом чтении поправки к закону «О персональных данных», ужесточающие правила трансграничной передачи персональных данных в страны с недостаточным уровнем их защиты.

Речь идет о законопроекте № 951518-8, внесённом в Госдуму 25 июня 2025 года группой депутатов и сенаторов.

В пояснительной записке отмечается, что действующие критерии для включения государств в перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных, требуют актуализации.

По мнению авторов инициативы, простого присоединения к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года больше недостаточно.

Законопроект предоставляет регулятору право вводить ограничения на передачу персональных данных в государства, где уровень защиты признан недостаточным. Для оценки этого уровня предлагается использовать более строгие критерии.

Порядок трансграничной передачи персональных данных в последний раз обновлялся в 2023 году. Тогда, в частности, было введено обязательство уведомлять Роскомнадзор о такой передаче, а сам регулятор получил право её запрещать.

AM LiveРоссийские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »
Флант выпустил первую версию платформы виртуализации на Kubernetes
Новость
Флант выпустил первую версию платформы виртуализации на Kube...
Cloudflare: сбой вызвал некорректный файл из-за ошибки в правах БД
Новость
Cloudflare: сбой вызвал некорректный файл из-за ошибки в пра...
В 2026 году требования по безопасности КИИ распространят на подрядчиков
Новость
В 2026 году требования по безопасности КИИ распространят на...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.