Разработан инструмент для обнаружения уязвимостей, позволяющих подмену DLL-библиотек

Исследователь безопасности из компании Cybereason Форрест Уильямс (Forrest Williams) разработал инструмент Siofra для обнаружения уязвимостей, позволяющих подменять DLL-библиотеки. Программа также предоставляет автоматизированный метод эксплуатации данных уязвимостей в программах для ОС Windows.

Siofra удалось выявить несколько опасных уязвимостей в Windows Defender, Internet Explorer и WMI. Как правило, подобные уязвимости исправляются Microsoft сразу после их обнаружения, однако в данном случае представители Microsoft заявили, что не будут этого делать, поскольку "загрузка двоичного кода из директории приложения не является сама по себе эксплоитом".

Siofra имитирует деятельность загрузчика Windows, обеспечивая видимость всех зависимостей (и соответствующих уязвимостей) в исполняемых PE-файлах на диске. Инструмент может генерировать библиотеки DLL для эксплуатации подобных типов уязвимостей путем заражения PE-файлов с динамическим созданием shell-кода. Вредоносная DLL-библиотека сохраняет код, а также ресурсы DLL для сохранения функциональности загружающего ее приложения и в то же время позволяя исследователю указывать исполняемую полезную нагрузку, которая может быть запущена как отдельный процесс, так и загружена как модуль.

Подмена DLL-библиотеки – известный с 2000 года метод атаки, эксплуатирующий механизм обработки библиотек DLL приложениями для Windows. Вредоносная программа помещает поддельный DLL-файл в каталог Windows и операционная система загружает вредоносный DLL-файл вместо легитимного. Использование метода подмены DLL-библиотек предоставляет злоумышленнику ряд преимуществ. Вредоносное ПО не оставляет следов в операционной системе, которые могли бы быть замечены пользователями, администраторами или защитными решениями: программа не имеет видимых процессов, exe-файла, ключа реестра, вредонос не отображается в msconfig и диспетчере задач.

По словам Уильямса, популярность метода подмены DLL-библиотек будет только расти, посколько уязвимости есть практически везде. «Когда я тестировал Siofra, я не нашел ни одного приложения, которое не имело хотя бы одну уязвимую DLL», - отметил исследователь. Речь идет не только о Windows Defenfer, Internet Explorer и WMI, но также об Adobe Reader и Firefox.

DLL (Dynamic Link Library, динамически подключаемая библиотека) - в операционных системах Microsoft Windows и IBM OS/2 динамическая библиотека, позволяющая многократное использование различными программными приложениями.

Источник