OneDrive подвержен уязвимости боковой загрузки DLL. Фиксируются реальные атаки

2022-10-06 1525 комментарии
Антивирусный вендор BitDefender раскрыл информацию об уязвимости боковой загрузки DLL в клиенте OneDrive, которая применяется в реальных атаках. Согласно отчету, злоумышленники в случае успешной эксплуатации занимаются майнингом криптовалюты

Подмена DLL (DLL Hijacking) — довольно частое явление в Windows. Windows использует систему приоритетов для определения места загрузки DLL-файла, если приложение не указывает полный путь. Атаки с перехватом DLL эксплуатируют эту систему за счет размещения вредоносных файлов в месте с более высоким приоритетом. Затем программа загружает вредоносную DLL вместо легитимного DLL-файла.

В случае с вредоносной кампанией, нацеленной на OneDrive, злоумышленники используют эту концепцию для внедрения вредоносного DLL-файла в пользовательскую папку в системе. Фальшивый файл secure32.dll записывается по пути: %LocalAppData%\Microsoft\OneDrive\ процессом без повышенных прав. Затем вредоносная библиотека динамической компоновки загружается двумя процессами OneDrive: OneDrive.exe и OneDriveStandaloneUpdater.exe.

Процесс обновления OneDrive запускается один раз в день, что гарантирует загрузку вредоносного ПО в систему, если оно не будет обнаружено антивирусом. Злоумышленники также добавляют OneDrive.exe в автозагрузку, чтобы «сделать постоянство угрозы еще более надежным».

При первой загрузке поддельной DLL на компьютер жертвы загружается ПО для майнинга криптовалюты.

В отчете сообщается:

После загрузки в один из процессов OneDrive поддельная библиотека secur32.dll загружает программное обеспечение для майнинга криптовалюты с открытым исходным кодом и внедряет его в легитимные процессы Windows.

Xотя в настоящее время атака ограничивается майнингом криптовалюты, BitDefender считает, что у злоумышленников есть возможность переключиться на другие виды вредоносной активности, включая развертывание программ-вымогателей или шпионских программ.

Антивирусный вендор рекомендует устанавливать OneDrive для всего компьютера, а не для отдельного пользователя, чтобы избежать уязвимости, связанной с подменой DLL. Злоумышленникам действительно нужно успешно проникнуть на ПК с Windows, чтобы сохранить вредоносный DLL-файл в пользовательском каталоге OneDrive. Надежная защита от вредоносных угроз в комбинации со здравым смыслом должны предотвратить атаку.

Пользователи и администраторы Windows могут проверить установку OneDrive на ПК с Windows, чтобы узнать, не был ли вредоносный DLL-файл уже установлен в системе. Для этого откройте расположение %LocalAppData%\Microsoft\OneDrive\ в Проводнике и поищите файл secur.dll в каталоге OneDrive.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?