DLL (Dynamic-link library) Hijacking è una nuova metodologia di attacco locale sviluppata e perfezionata da HD Moore (sviluppatore di metasploit) che lavora (per ora) solo su Windows.
Il principio di funzionamento è semplicissimo: viene sfruttato il meccanismo di caricamento delle DLL di windows.
Come sappiamo gli EXE richiamano le DLL su PATH predefinite. Se non viene trovata in quelle PATH predefinite uscirà l’errore che ci dice che manca una certa DLL
Il primo step di caricamento è quello di cercare le DLL all’interno della stessa path di esecuzione dell’EXE, poi su c:programmi ed infine su c:windowssystem32.
HD Moore ha quindi pensato di passargli una DLL appartenente al programma, ma modificata ad-hoc, sulla stessa PATH di esecuzione dell’EXE, così da farla caricare subito, senza andare a modificare c:programmi o c:windowssystem32 (anche perchè non sempre si ha accesso a quelle PATH).
Il risultato è quello che l’EXE si carica una DLL modificata e programmata come si vuole.
Microsoft ha recentemente rilasciato un advisory a riguardo, dove definice il DLL Hijacking come “DLL preloading attack“, offrendo poi varie tipologie di fix fra cui:
- Programmare un software specificando la PATH da dove avviare la DLL di programma;
- Modificare la sequenza di avvio delle DLL, facendo caricare per ultime quelle del percorso corrente (per esempio da c:programmi, poi da c:windowssystem32 e poi sul percorso attuale;
Grazie capitan ovvio!
Qua di seguito alcuni esempi di exploit da poco usciti:
Per altri exploit vi rimando a http://www.exploit-db.com/
2 replies on “DLL Hijacking cos’è e come funziona”
Tecnica abbastanza vecchia 😛 … però ora tutto di un tratto viene super sfruttata 😀
E su exploit-db continuano a venire fuori exploit che sfruttano questa tecnica 😀
E stavolta non basta un aggiornamento di windows .. per risolvere le cose
Almost fixed, read this paper from MS:
http://support.microsoft.com/kb/2264107