Этот метод позволит злоумышленникам запускать вредоносный
код по протоколу удаленного рабочего стола, используя боковую загрузку DLL,
чтобы обойти меры безопасности.
Исследователи обнаружили метод уклонения от защиты,
позволяющий злоумышленникам запускать вредоносный код через протокол удаленного
рабочего стола Microsoft (RDP), используя тактику атаки, называемую боковой
загрузкой DLL.
Этот метод использует Microsoft Terminal
Services Client (MSTSC).
Члены команды исследовали MSTSC и RDP, когда обнаружили
методику, которую можно использовать для обхода мер безопасности. Насколько
известно исследователям, эта стратегия не использовалась в активных атаках.
Боковая загрузка DLL, как она помечена в платформе
MITER ATT & CK, может происходить, когда программы «неправильно или
неопределенно определяют требуемую DLL». В результате они могут быть подвержены
уязвимости, из-за которой в программу загружается непреднамеренная DLL.
Злоумышленники могут воспользоваться легитимными программами, уязвимыми для загрузки вредоносной библиотеки DLL и
маскировки любых вредоносных действий, которые они предпринимают под видом
доверенной системы или процесса.
Чтобы запустить RDP, пользователи получают доступ к MSTSC в
Windows, чтобы получить контроль над удаленным компьютером или виртуальной
машиной с помощью сетевого подключения, объясняют исследователи в своем блоге.
MSTSC использует файл DLL (mstscax.
dll) как один из его ресурсов. Тестировщики выяснили, что
MSTSC выполняет задержку загрузки mstscax.dll, что может привести к тому, что
злоумышленники пропустят контроль безопасности. Исполняемый файл загружает
«mstscax.dll» без проверки целостности для проверки кода библиотеки, говорят
они.
Это можно использовать двумя способами. Злоумышленник может
заменить DLL-файл mstscax.dll в папке c: \ windows \ system32, для чего
требуются права локального администратора. «Большинство злоумышленников
получают локальные административные привилегии различными способами и, следовательно,
смогут реализовать это для использования после использования и уклонения.
В другом сценарии злоумышленник может скопировать файл
mstsc.exe во внешнюю папку, поместив DLL в ту же папку и запустив оттуда mstsc.
Microsoft говорит, что mstsc не должен использоваться вне папки c: \ windows \
system32; однако, это не принципиально.
Оба сценария позволяют злоумышленнику обойти меры
безопасности, поскольку вредоносный код запускается в контексте mstsc.exe,
который является исполняемым файлом Microsoft. Первый сценарий позволит
злоумышленникам сохраниться, поскольку mstsc.exe будет запускать вредоносный
код каждый раз, когда он используется.
«Злоумышленники могут воспользоваться тем фактом, что
большинство средств безопасности не защищают mstsc.exe, поскольку это широко
распространенное программное обеспечение, подписанное Microsoft». «Таким
образом, если вредоносный код запускается в его контексте, он имеет высокую вероятность
того, что его не обнаружат».
Исследователи связались с Microsoft 12 апреля, чтобы
поделиться своими выводами, но компания отказалась от разработки патча.
Microsoft объясняет, что компрометация клиента удаленного рабочего стола путем
размещения DLL в доверенном каталоге потребует от злоумышленника прав
администратора.
Компания предлагает дополнительные рекомендации по
устранению уязвимостей при установке DLL. В зависимости от того, где
вредоносная DLL может быть установлена, уязвимость может быть разделена на
несколько категорий.
Организации, которые хотят смягчить эту угрозу, могут
отключить использование mstsc.exe,
использовать средства управления безопасностью для
отслеживания вредоносного ненормального поведения, выполняемого mstsc.exe, и
вручную проверять, что DLL mstscax.dll в той же папке, что и настоящая DLL,
подписанная Microsoft, а не поддельная.
Комментариев нет:
Отправить комментарий