Nueva Variante de DLL Search Order Hijacking Elude las Protecciones de Windows 10 y 11


La seguridad informática es un campo en constante evolución, con amenazas emergentes que desafían continuamente las medidas de protección existentes. Un ejemplo reciente de esto es la nueva variante del secuestro de orden de búsqueda de bibliotecas de enlace dinámico (DLL) que ha demostrado ser capaz de eludir las protecciones en Windows 10 y 11.

Secuestro de Orden de Búsqueda de DLL o DLL Search Order Hijacking

¿Qué es?

Es una técnica de ataque que aprovecha la forma en que las aplicaciones de Windows buscan y cargan bibliotecas DLL. Los atacantes insertan DLLs maliciosas en ubicaciones que serán buscadas antes que las legítimas, logrando así ejecutar código malicioso.

Funcionamiento Básico

El procedimiento se basa en el hecho de que muchas aplicaciones no especifican la ruta completa de las DLLs que necesitan, confiando en un orden de búsqueda predefinido para localizarlas. Los atacantes explotan esto moviendo binarios del sistema legítimos a directorios no estándar que contienen DLLs maliciosas con nombres idénticos a los legítimos.

La Nueva Variante y su Impacto en Windows 10 y 11

Innovación en la Técnica de Ataque

La firma de ciberseguridad Security Joes ha detallado esta nueva variante, que utiliza ejecutables comúnmente encontrados en la carpeta WinSxS de confianza y los explota mediante el clásico DLL Search Order Hijacking. Esta técnica permite a los adversarios eliminar la necesidad de privilegios elevados para ejecutar código malicioso en una máquina comprometida.

Especificaciones del Ataque

El ataque se dirige a archivos en la carpeta "C:\Windows\WinSxS". Los actores de amenazas combinan este método con el secuestro habitual del orden de búsqueda de DLL, colocando una DLL personalizada con el mismo nombre que la DLL legítima en un directorio controlado por el atacante para lograr la ejecución del código.

Medidas de Prevención y Seguridad

Estrategias de Mitigación

Es fundamental que las organizaciones tomen precauciones adecuadas para mitigar este método de explotación. Esto incluye examinar las relaciones padre-hijo entre procesos y monitorear de cerca todas las actividades realizadas por los binarios que residen en la carpeta WinSxS, centrándose tanto en las comunicaciones de red como en las operaciones de archivos.

Recomendaciones Adicionales

Las organizaciones deben mantener actualizados sus sistemas y software, implementar una política de seguridad robusta y educar a los empleados sobre las mejores prácticas de ciberseguridad.


Preguntas Frecuentes (FAQs)

¿Cómo afecta esta nueva variante a las versiones anteriores de Windows?

  • Aunque el enfoque se centra en Windows 10 y 11, versiones anteriores podrían ser igualmente vulnerables si emplean patrones similares en la carga de DLLs.

¿Qué tan grave es esta amenaza para las empresas?

  • Es una amenaza significativa, ya que permite la ejecución de código malicioso sin necesidad de privilegios elevados, lo que puede comprometer gravemente la seguridad de los sistemas empresariales.

¿Puede un antivirus detectar y prevenir este tipo de ataque?

  • Aunque los antivirus pueden ayudar, la naturaleza sofisticada y sigilosa de esta técnica podría eludir algunas medidas de detección. La vigilancia proactiva y las prácticas de seguridad integrales son clave.

Conclusión

La aparición de esta nueva variante de DLL Search Order Hijacking subraya la importancia de mantenerse al día con las últimas amenazas de ciberseguridad y adaptar continuamente las estrategias de seguridad. La prevención efectiva requiere una combinación de tecnología actualizada, prácticas de seguridad sólidas y educación continua en ciberseguridad. Las empresas deben estar alerta y preparadas para enfrentar estos desafíos en constante evolución para proteger sus activos digitales críticos.