O vulnerabilitate critică a fost identificată în majoritatea uneltelor Microsoft Sysinternals, prezentând un risc semnificativ pentru administratorii de sistem și dezvoltatorii care se bazează pe aceste instrumente. Problema a fost descoperită prin tehnici de DLL injection, permițând atacatorilor să execute cod malițios. Deși a fost raportată la Microsoft cu peste 90 de zile în urmă, problema rămâne nerezolvată.
TL;DR
- Vulnerabilitate critică în uneltele Microsoft Sysinternals
- Permite atacuri prin DLL injection
- Potențial de compromitere a întregului sistem
- Microsoft nu a rezolvat până acum vulnerabilitatea
- Recomandări: utilizarea uneltelor de pe locații locale, verificarea integrității DLL-urilor
Descoperirea vulnerabilității
Microsoft Sysinternals reprezintă o suită importantă de unelte utilizate pentru analiza și diagnosticarea sistemelor Windows. Totuși, cercetătorii au descoperit o vulnerabilitate de securitate în modul în care aceste unelte încarcă fișierele DLL. Aplicând tehnici de DLL injection, atacatorii pot înlocui DLL-urile legitime cu unele malițioase.
Impactul practic al vulnerabilității
Vulnerabilitatea a fost demonstrată practic folosind instrumentul Bginfo. În scenariul simulat, un atacator poate plasa un fișier DLL malițios în același director de rețea cu executabilul Bginfo. Astfel, la pornirea sistemului, DLL-ul malițios este încărcat în locul celui legitim, permițând răspândirea automată a unui troian pe sistemele client.
Răspunsul Microsoft și recomandări
Deși vulnerabilitatea a fost raportată responsabil la Microsoft în octombrie 2024, problema rămâne nerezolvată. Microsoft consideră că este o „îmbunătățire defensivă” și nu un defect critic. Pentru a se proteja, utilizatorii sunt sfătuiți să nu folosească uneltele Sysinternals de pe locațiile de rețea și să verifice integritatea DLL-urilor înainte de execuție.
Cum să vă protejați
Este important să evităm rularea aplicațiilor critice din locații de rețea și să monitorizăm constant integritatea system-ului și utilizarea adecvată a DLL-urilor. Utilizarea unui software de securitate care poate verifica și bloca DLL-urile malițioase poate reduce riscurile de compromitere a sistemului.
Sursa articolului:
https://cybersecuritynews.com/0-day-vulnerabilities-in-microsoft-sysinternals-tools/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
