DLL Arama Sırasının Ele Geçirilmesinin Yeni Bir Türü, Windows 10 ve 11 Korumalarını Atlıyor

02.01.2024

Güvenlik araştırmacıları, Microsoft Windows 10 ve Windows 11 işletim sistemlerini çalıştıran sistemler için potansiyel bir tehdit oluşturan dinamik bağlantı kitaplığı (DLL) arama sırası kaçırma tekniğinin yeni bir varyantını ortaya koymuşlardır. Bu yöntem, siber güvenlik firması Security Joes tarafından The Hacker News ile paylaşılan özel bir raporda açıklanmıştır. Bu yöntem, genellikle güvenilir WinSxS klasöründe bulunan yürütülebilir dosyalara dayanmaktadır. Klasik DLL arama sırası kaçırma tekniğini sömürerek, saldırganlar güvenlik mekanizmalarını atlayabilir ve kötü amaçlı kodun yürütülmesine olanak tanıyabilirler.

Strateji, WinSxS klasöründeki güvenilir yürütülebilir dosyaları kullanmayı içerir ve bir sistemde kötü amaçlı kodu çalıştırmak için yüksek ayrıcalıklara gerek olmadan bu dosyaları kullanır. Ayrıca, bu yaklaşım, saldırı zincirine savunmasız ikili dosyaların dahil edilme olasılığını ortaya çıkarır, daha önceki olaylarda gözlemlenen bir desen.

DLL arama sırası kaçırma, DLL'lerin yüklenme sırasını manipüle etme etrafında döner ve savunma kaçınma, kalıcılık ve ayrıcalık artırma gibi amaçlarla kötü amaçlı yüklerin yürütülmesini kolaylaştırır. Bu bağlamda, saldırganlar, gereken kitaplıkların tam yolunu belirtmeyen uygulamaları hedef alırlar. Bunun yerine, diskte gerekli DLL'leri bulmak için belirlenmiş bir arama sırasına güvenirler.

Bu davranışı sömürerek, tehdit aktörleri meşru sistem ikililerini geleneksel olmayan dizinlere taşırlar. Bu dizinler, meşru olanlarla benzer adlara sahip kötü amaçlı DLL'leri içerir. Sonuç olarak, DLL yükleme işlemi sırasında saldırı kodunu içeren kütüphane, gerçek olanın yerine seçilir.