Почти 300 исполняемых файлов в Windows 10 уязвимы к перехвату DLL - Форум по пробиву информации
  • ОСТОРОЖНО ФЕЙКИ ФОРУМА!

    В сети появляются фейки нашего форума!

    Будьте бдительны!

    ВНИМАНИЕ НАШИ ДОМЕНЫ ТОЛЬКО

    PROBIV.CC = PROBIV.BIZ = PROBIV.ONE = PROBIV.CLUB = PROBIV.ME = PROBIV.SITE = PROBIV.BZ!

    В СЕТИ ТОР ДОМЕН ТОЛЬКО

    PROBIV7JG46VMBOX.ONION!

    Напоминаем, что АГ форума не просят деньги в мессенжерах! Все вопросы решаются через форум!

    Будьте внимательны!
  • Внимание !

    На ряде теневых форумов участились случаи взлома аккаунтов, приоритет у взломщиков имеют старые аккаунты и аккаунты с историей, продаются и аккаунты продавцов.

    Будьте внимательны, старайтесь проводить сделки через Гарант-сервис. Если Вы хотите приобрести услугу у продавца или у отлежавшегося аккаунта, требуйте провести сделку через гарант-сервис, при отказе сразу сообщайте АГ форума.

    Настоятельно рекомендуем:

    • Периодически менять пароли
    • Убирать галочку вхождение автоматом в браузере
    • Чистить куки и кеш браузера
    • Использовать двухфакторную аутентификацию
  • АФИША ФОРУМА

    Полезная информация для форумчан:

    FAQ по форуму

    (все самое полезное в одном месте)

    Аттракцион бесплатных проверок

    (помогаем модераторам проводить проверки тем)

    Бесплатный сыр

    (раздел для искушённого пользователя)

    Конкурсы

    (участвуй в конкурсах и получай призы)

Новости Почти 300 исполняемых файлов в Windows 10 уязвимы к перехвату DLL

Ахилл

Профессионал
Команда форума
Старший по разделу
Private Club

Ахилл

Профессионал
Команда форума
Старший по разделу
Private Club
Регистрация
27/7/18
Сообщения
3.014
Репутация
13.410
Реакции
17.969
Сделок через гаранта
15
Депозит
99 999 рублей
Уязвимые файлы позволяют получить права администратора на устройстве под управлением Windows 10.

Исследователь безопасности из компании PwC Витце Бьюкема (Wietze Beukema) обнаружил почти 300 исполняемых файлов в Windows 10, которые уязвимы к атакам типа DLL hijack («подмена DLL-библиотек»). C помощью скрипта VBScript некоторые из EXE-файлов могут быть использованы для перехвата DLL, полностью минуя контроль учетных записей пользователей (User Account Control, UAC).

Подмена DLL-библиотек может позволить злоумышленнику выполнить произвольный код, повысить привилегии и обеспечить персистентность на целевой системе. Различные методы атак с использованием DLL-библиотек, описанные специалистом, включают замену DLL, перехват поиска DLL, перенаправление DLL, замену DLL в папке WinSxS и перехват относительного пути DLL.

Для демонстрации перехвата относительного пути DLL Бьюкема выбрал библиотеки, находящиеся в папке «C:\Windows\System32» на компьютере под управлением Windows 10 (v1909). Он скопировал легитимный файл winstat.exe в папку загрузок на своей системе, затем запустил инструмент мониторинга процессов procmon с целью идентифицировать все DLL-библиотеки, запрашиваемые приложениями, которые потенциально можно перехватить. Для того чтобы узнать, какие DLL-библиотеки были корректно загружены, специалист скомпилировал собственную версию DLL-библиотеки и заставил ее осуществить запись в уникальный файл после успешной загрузки.

Исследователь предоставил полный список библиотек и исполняемых файлов, которые могут быть использованы в ходе атак. Список состоит из 287 исполняемых файлов и 263 уникальных DLL-библиотек.

Специалист также сообщил о некоторых ограничениях, связанных с данными типами атак:

* Использовать только исполняемые файлы, не требующие никаких аргументов;

* Избегать приложений с расширенным графическим интерфейсом и возможностями отчетов об ошибках;

* Не использовать DLL-библиотеки, написанные на языке C++.

Одна из причин, по которой специалист предлагает использовать VBScript, заключается в том, что создание каталогов Windows, имена которых содержат завершающий пробел, не может быть достигнуто с помощью «традиционных средств». С помощью VBScript нет необходимости использовать собственные скомпилированные двоичные файлы для осуществления атаки.

Для предотвращения подобных атак эксперт рекомендует настроить приложения так, чтобы они всегда использовали абсолютные пути вместо относительных. Также в настройках UAC можно указать параметр «всегда уведомлять», что поможет предотвратить успешное выполнение перехвата DLL.
 

Ахилл

Профессионал
Команда форума
Старший по разделу
Private Club

Ахилл

Профессионал
Команда форума
Старший по разделу
Private Club
Регистрация
27/7/18
Сообщения
3.014
Репутация
13.410
Реакции
17.969
Сделок через гаранта
15
Депозит
99 999 рублей
Если на "рабочей" машине у вас есть ниже приведённые установки (и, конечно же если вы сами не кодер..)) - рекомендую их удалить.

2020-06-29_124548.jpg
2020-06-29_124610.jpg

Чаще всего данный пак попадает в систему при установке игр (или же при установке софта по графике, приложений, которые используют visual c++)
 

autoritet

Опытный
Private Club

autoritet

Опытный
Private Club
Регистрация
29/11/19
Сообщения
1.249
Репутация
2.065
Реакции
17.097
Ахилл, Разочаровал ты меня дружище такими статьями . я половину слов не знаю............. исполняемые файлы.. длл.. паки веди херувимы ))
 

Ахилл

Профессионал
Команда форума
Старший по разделу
Private Club

Ахилл

Профессионал
Команда форума
Старший по разделу
Private Club
Регистрация
27/7/18
Сообщения
3.014
Репутация
13.410
Реакции
17.969
Сделок через гаранта
15
Депозит
99 999 рублей
Ахилл, Разочаровал ты меня дружище такими статьями . я половину слов не знаю............. исполняемые файлы.. длл.. паки веди херувимы ))
Может, всё же удивил, нежели разочаровал.. ?))) Сам многому учусь ещё...)))
Если где-что смогу подсказать - обращайся, Дружище!)
 
Сверху Снизу