IT 之家 1 月 2 日消息,网络安全公司 Security Joes 近日发布报告,发现了动态链接库(DLL)搜索顺序劫持技术的新变种技术,可以绕过各种安全机制,在 Win10、Win11 系统上执行恶意代码。
报告称该 DLL 漏洞技术利用了受信任的 WinSxS 文件夹中常见的可执行文件,并通过 DLL 搜索顺序劫持技术,在不需要提升权限的情况下,植入和运行恶意代码。IT 之家附上视频如下:
WinSxS 是 Windows side-by-side 的缩写,是一个重要的 Windows 组件,用于定制和更新操作系统,以确保兼容性和完整性。
其入侵原理是在 WinSxS 文件夹中找到易受攻击的安装文件(如 ngentask.exe 和 aspnet_wp.exe),结合常规的 DLL 搜索顺序劫持方法,有策略地将与合法 DLL 同名的自定义 DLL 放入目录中,从而实现执行代码。
攻击者只需要将包含恶意 DLL 的自定义文件夹设置为当前目录,在 WinSxS 文件夹中执行有漏洞的文件,就可以执行触发 DLL 内容,整个过程不需要将可执行文件从 WinSxS 文件夹复制到该文件夹中。