DLL-Hijacking und WinSxS

22. Januar 2024 Celia Catalán

Laut einer von Qualys veröffentlichten Studie wurden im Jahr 2023 insgesamt 26.447 Schwachstellen registriert, was einen Meilenstein als das Jahr mit der größten Anzahl veröffentlichter Schwachstellen in der Geschichte darstellt. Mit dem Ziel, im Jahr 2024 mit einem erneuten Bewusstsein für die Bedeutung der Cybersicherheit zu beginnen, ist es von entscheidender Bedeutung, sich der neuen Bedrohungen bewusst zu sein.

Obwohl DLL-Hijacking eine seit langem bestehende Schwachstelle ist, zeigt eine aktuelle Studie von SecurityJoes hat eine neue Variante dieser Technik identifiziert. Diese Variante nutzt die im WinSxS-Ordner vorhandenen Binärdateien aus, was die Möglichkeiten für potenzielle Angreifer erweitert.

WinSxS-Ordner:

Der WinSxS-Ordner ist eine wichtige Komponente des Systems, da Windows dort die Dateien für die installierten Updates, die Sicherungskopien und Wiederherstellungspunkte speichert, die der Computer jedes Mal automatisch generiert, wenn eine neue Anwendung installiert wird. Deshalb vergrößert sich der Inhalt dieses Ordners in der Regel mit der Zeit und vergrößert so die Angriffsfläche. Es befindet sich normalerweise im Verzeichnis „C:\Windows\WinSxS“.

Dynamic Link Libraries (DLL):

DLLs sind Dateien, die ausführbaren Code und Teile von Software enthalten, die von verschiedenen Anwendungen gleichzeitig verwendet werden können. Diese Dateien ermöglichen im Windows-Ökosystem die Wiederverwendung von Funktionen und Ressourcen durch verschiedene Programme, ohne dass der Code repliziert werden muss, was die Speichernutzung optimiert und die Softwareentwicklung erleichtert.

Das DLL-Hijacking macht sich die natürliche Methode zunutze, mit der Windows-Programme Dynamic Link Libraries (DLLs) finden und darauf zugreifen. Dieser Prozess folgt einer bestimmten Reihenfolge, um die erforderlichen DLLs zu finden:

1. Das Verzeichnis, in dem die Anwendung ausgeführt wird

2. Der C-Ordner: Windows Syste m32

3. Der C:Windows-Systemordner

4. Der C: Windows-Ordner

5. Das aktuelle Arbeitsverzeichnis

6. In der Systemumgebungsvariable PATH aufgeführte Regisseure.

7. In der PATH-Umgebungsvariablen des Benutzers aufgeführte Regisseure.

Wenn es einem Angreifer gelingt, eine schädliche DLL mit demselben Namen wie eine legitime dynamische Bibliothek zu laden und diese schädliche Version in der Suchsequenz früher gefunden wird als die authentische Version, lädt die Anwendung die schädliche DLL. Dies kann zur Ausführung willkürlichen Codes führen, der es dem Angreifer ermöglicht, Aktionen wie die Einrichtung einer Reverse-Shell durchzuführen und so einen unbefugten Fernzugriff auf das kompromittierte System zu ermöglichen. In der Standardkonfiguration führt Windows vor dem Laden von DLLs keine Authentizitätsprüfung durch.

Im Vergleich zu herkömmlichen Methoden, bei denen eine schädliche ausführbare Datei hochgeladen wird, werden in diesem Fall mehrere schädliche ausführbare Dateien im WinSxS-Ordner für die DLL-Hijacking ausgenutzt. Diese Technik verhindert eine Rechteausweitung zum Einschleusen von Schadcode, da legitime Systemressourcen genutzt werden. Ein zusätzlicher Vorteil dieses neuen Ansatzes besteht darin, dass die Wahrscheinlichkeit größer ist, dass er vom System-Antivirenprogramm unbemerkt bleibt und Warnungen auslöst, da legitime ausführbare Systemdateien zur Ausführung bösartiger Aktionen verwendet werden, was die Wahrscheinlichkeit einer Erkennung verringert, indem weniger verdächtige Aktivitäten generiert werden.