300 eseguibili Windows vulnerabili ad attacchi DLL hijacking

Gli attacchi DLL hijacking, come visto anche nell’articolo Privilege escalation: acquisire privilegi più elevati è ancora possibile in Windows, espongono il sistema in uso ad attacchi posti in essere da applicazioni e processi malevoli. Questi ultimi, infatti, possono acquisire privilegi elevati ed eseguire operazioni capaci di modificare in profondità la configurazione del sistema operativo senza neppure mostrare la finestra di UAC (User Account Control).

Secondo il ricercatore Wietze Beukema, qualcosa come 300 eseguibili contenuti nella cartella system32 di Windows sarebbero sfruttabili per avviare attacchi DLL hijacking.

Beukema spiega che con un semplice VBScript è possibile far leva sulla vulnerabilità per eseguire codice potenzialmente dannoso senza che che l’utente sia avvisato dell’acquisizione dei privilegi elevati.

Sfruttando un eseguibile Windows assolutamente legittimo un aggressore diventa in grado di caricare una libreria DLL arbitraria che a sua volta pone in essere una serie di operazioni dannose.

E perché usare un file VBScript per avviare l’aggressione? Perché, come spiega Beukema, molto spesso i file VBS consentono di effettuare operazioni che di default vengono bloccate da parte di PowerShell. Oltre a dover utilizzare ovviamente una propria DLL, l’aggressione può disporne l’utilizzo via VBScript senza dover compilare alcun eseguibile.

Dal momento che il nome delle DLL usate per gli attacchi non cambia, una buona idea – secondo il ricercatore – consiste nel controllare il contenuto delle cartelle di sistema (ad esempio %appdata%) rilevando l’improvvisa sospetta creazione di librerie.