T 之家 1 月 2 日消息,網(wǎng)絡(luò)安全公司 Security Joes 近日發(fā)布報(bào)告,發(fā)現(xiàn)了動(dòng)態(tài)鏈接庫(DLL)搜索順序劫持技術(shù)的新變種技術(shù),可以繞過各種安全機(jī)制,在 Win10、Win11 系統(tǒng)上執(zhí)行惡意代碼。
報(bào)告稱該 DLL 漏洞技術(shù)利用了受信任的 WinSxS 文件夾中常見的可執(zhí)行文件,并通過 DLL 搜索順序劫持技術(shù),在不需要提升權(quán)限的情況下,植入和運(yùn)行惡意代碼。IT 之家附上視頻如下:
動(dòng)態(tài)鏈接庫(DLL)搜索順序劫持技術(shù),就是利用加載 DLL 的搜索順序來執(zhí)行惡意有效載荷,以達(dá)到逃避防御、持久化和權(quán)限升級的目的。
具體來說,利用這種技術(shù)的攻擊只針對那些沒有指定所需庫函數(shù)完整路徑的應(yīng)用程序,而是依靠預(yù)定義的搜索順序在磁盤上找到所需的 DLL。
攻擊者的方式是將合法的系統(tǒng)安裝文件轉(zhuǎn)移到非標(biāo)準(zhǔn)目錄中,其中包括以合法文件命名的惡意 DLL,從而調(diào)用包含攻擊代碼的庫。
Security Joes 設(shè)計(jì)的這一新奇的轉(zhuǎn)折點(diǎn)針對的是位于可信的“C:\Windows\WinSxS”文件夾中的文件。
WinSxS 是 Windows side-by-side 的縮寫,是一個(gè)重要的 Windows 組件,用于定制和更新操作系統(tǒng),以確保兼容性和完整性。
其入侵原理是在 WinSxS 文件夾中找到易受攻擊的安裝文件(如 ngentask.exe 和 aspnet_wp.exe),結(jié)合常規(guī)的 DLL 搜索順序劫持方法,有策略地將與合法 DLL 同名的自定義 DLL 放入目錄中,從而實(shí)現(xiàn)執(zhí)行代碼。
攻擊者只需要將包含惡意 DLL 的自定義文件夾設(shè)置為當(dāng)前目錄,在 WinSxS 文件夾中執(zhí)行有漏洞的文件,就可以執(zhí)行觸發(fā) DLL 內(nèi)容,整個(gè)過程不需要將可執(zhí)行文件從 WinSxS 文件夾復(fù)制到該文件夾中。
Windows 7 作為一個(gè)正式的計(jì)算平臺早已壽終正寢,但泄密者仍在玩弄微軟最成功軟件產(chǎn)品之一的墓碑。該操作系統(tǒng)的一個(gè)新預(yù)覽版現(xiàn)已上線,為 Windows 歷史學(xué)家和 Win32 軟件愛好者提供了一個(gè)有趣的補(bǔ)充。
微軟于 2020 年 1 月結(jié)束了對 Windows 7 的官方擴(kuò)展支持,但 Windows 7 仍在不斷制造新聞。最近,該操作系統(tǒng)的一個(gè)舊測試版在網(wǎng)上泄露,讓人們得以一窺 2008 年 7 月時(shí)的開發(fā)情況。
Windows 7 的最終 RTM 版本將在一年后發(fā)布,而這個(gè)舊的測試版包含了用戶在 2009 年 PC 上使用操作系統(tǒng)時(shí)遇到的一些變化。
BetaWiki有一篇關(guān)于 Windows 7 版本 6758(Windows 7 的"里程碑 3"版本)中引入的更改的綜合文章。該版本于 2008 年 7 月 24 日編譯,過期日期為 2009 年 4 月 1 日。構(gòu)建版 6758 最近上傳到了InternetArchive,其中的客戶端 (x86) 和服務(wù)器 (x64) ISO 磁盤映像現(xiàn)在可供下載。
該版本包括一個(gè)更新的"畫圖"應(yīng)用程序,與 Windows 7 RTM 中的版本類似,此外還對操作系統(tǒng)的基本功能和設(shè)計(jì)進(jìn)行了一系列重大修改。與以前的版本(以及公開的版本)相比,該版本對 Windows 安裝程序、控制面板小程序、外殼、開始菜單等進(jìn)行了改進(jìn)。
據(jù) BetaWiki 報(bào)道,與以前的操作系統(tǒng)版本相比,Windows 資源管理器的用戶界面有了顯著更新。與此同時(shí),"開始菜單"也進(jìn)行了修改,默認(rèn)情況下包含指向用戶文檔、圖片和視頻庫的鏈接。桌面窗口管理器(Desktop Window Manager)是為實(shí)現(xiàn) Windows Vista 獨(dú)特的"Aero 體驗(yàn)"而創(chuàng)建的,在 Windows 10 和 11 中仍然是一個(gè)重要組件,它包含了 Aero Snap 功能的新動(dòng)畫。
構(gòu)建版 6758 中的其他更改還包括桌面小工具圖庫(默認(rèn)情況下不再運(yùn)行)、更簡潔的用戶帳戶控制(UAC)體驗(yàn)、通知托盤設(shè)計(jì)和系統(tǒng)飛出。改進(jìn)的應(yīng)用程序包括擁有新界面組件的 Internet Explorer、媒體相關(guān)程序(Windows Media Center、Windows Media Player 和 Windows DVD Maker)以及多個(gè)系統(tǒng)組件。簡陋的計(jì)算器采用了新的界面,但遺憾的是,在 RTM 版中界面有所調(diào)整。
Windows 愛好者可以嘗試在虛擬機(jī)(如VMware Player)中安裝和運(yùn)行 Windows 7 版本,該虛擬機(jī)可為這一歷史悠久的操作系統(tǒng)提供出色的支持。微軟仍在為 Windows Embedded POSReady 7 版本的 Windows 7 提供安全補(bǔ)丁,但擴(kuò)展安全更新計(jì)劃最終將于 2024 年 10 月 8 日到期。