Categories
Hacking News

DLL Hijacking cos’è e come funziona

DLL (Dynamic-link library) Hijacking è una nuova metodologia di attacco locale sviluppata e perfezionata da HD Moore (sviluppatore di metasploit) che lavora (per ora) solo su Windows.
Il principio di funzionamento è semplicissimo: viene sfruttato il meccanismo di caricamento delle DLL di windows.
Come sappiamo gli EXE richiamano le DLL su PATH predefinite. Se non viene trovata in quelle PATH predefinite uscirà l’errore che ci dice che manca una certa DLL

Il primo step di caricamento è quello di cercare le DLL all’interno della stessa path di esecuzione dell’EXE, poi su c:programmi ed infine su c:windowssystem32.

HD Moore ha quindi pensato di passargli una DLL appartenente al programma, ma modificata ad-hoc, sulla stessa PATH di esecuzione dell’EXE, così da farla caricare subito, senza andare a modificare c:programmi o c:windowssystem32 (anche perchè non sempre si ha accesso a quelle PATH).

Il risultato è quello che l’EXE si carica una DLL modificata e programmata come si vuole.

Microsoft ha recentemente rilasciato un advisory a riguardo, dove definice il DLL Hijacking come “DLL preloading attack“, offrendo poi varie tipologie di fix fra cui:

  1. Programmare un software specificando la PATH da dove avviare la DLL di programma;
  2. Modificare la sequenza di avvio delle DLL, facendo caricare per ultime quelle del percorso corrente (per esempio da c:programmi, poi da c:windowssystem32 e poi sul percorso attuale;

Grazie capitan ovvio!

Qua di seguito alcuni esempi di exploit da poco usciti:

Description
Autodesk AutoCAD 2007 dll Hijacking exploit (color.dll)
Daemon tools lite DLL Hijacking Exploit (mfc80loc.dll)
Google Earth v5.1.3535.3218 DLL Hijacking Exploit (quserex.dll)
Nullsoft Winamp 5.581 DLL Hijacking Exploit (wnaspi32.dll)
Media Player Classic 6.4.9.1 DLL Hijacking Exploit (iacenc.dll)
Corel PHOTO-PAINT X3 v13.0.0.576 DLL Hijacking Exploit (crlrib.dll)
CorelDRAW X3 v13.0.0.576 DLL Hijacking Exploit (crlrib.dll)
Adobe ExtendedScript Toolkit CS5 v3.5.0.52 DLL Hijacking Exploit (dwmapi.dll)
Adobe Extension Manager CS5 v5.0.298 DLL Hijacking Exploit (dwmapi.dll)
Mozilla Thunderbird DLL Hijacking Exploit ( dwmapi.dll )
Microsoft Office PowerPoint 2007 DLL Hijacking Exploit (rpawinet.dll)
Roxio MyDVD 9 DLL Hijacking Exploit (HomeUtils9.dll)
Windows Internet Communication Settings DLL Hijacking Exploit (schannel.dll)
Microsoft Windows Contacts DLL Hijacking Exploit (wab32res.dll)
Adobe InDesign CS4 DLL Hijacking Exploit (ibfs32.dll)
Cisco Packet Tracer 5.2 DLL Hijacking Exploit (wintab32.dll)
Adobe Illustrator CS4 DLL Hijacking Exploit (aires.dll)
Adobe On Location CS4 DLL Hijacking Exploit (ibfs32.dll)
Adobe Premier Pro CS4 DLL Hijacking Exploit (ibfs32.dll)
Nvidia Driver DLL Hijacking Exploit (nview.dll)

Per altri exploit vi rimando a http://www.exploit-db.com/

2 replies on “DLL Hijacking cos’è e come funziona”

Tecnica abbastanza vecchia 😛 … però ora tutto di un tratto viene super sfruttata 😀

E su exploit-db continuano a venire fuori exploit che sfruttano questa tecnica 😀

E stavolta non basta un aggiornamento di windows .. per risolvere le cose

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.