原标题：新型DLL搜索顺序劫持技术泄露 Windows被远程控制

2024-01-02 16:42:07 作者：姚立伟

近日，网络安全公司Security Joes发布了一份报告，揭露了一种新型动态链接库（DLL）搜索顺序劫持技术。这种技术可以绕过各种安全机制，在Windows 10和Windows 11系统上执行恶意代码。

该报告称，这种DLL漏洞技术利用了受信任的WinSxS文件夹中常见的可执行文件，并通过DLL搜索顺序劫持技术，在不需要提升权限的情况下植入和运行恶意代码。攻击者的方式是将合法的系统安装文件转移到非标准目录中，其中包括以合法文件命名的恶意DLL，从而调用包含攻击代码的库。

Security Joes设计的这一新奇转折点针对的是位于可信的“C:WindowsWinSxS”文件夹中的文件。WinSxS是一个重要的Windows组件，用于定制和更新操作系统，以确保兼容性和完整性。其入侵原理是在WinSxS文件夹中找到易受攻击的安装文件（如ngentask.exe和aspnet_wp.exe），结合常规的DLL搜索顺序劫持方法，有策略地将与合法DLL同名的自定义DLL放入目录中，从而实现执行代码。

攻击者只需要将包含恶意DLL的自定义文件夹设置为当前目录，在WinSxS文件夹中执行有漏洞的文件，就可以触发整个过程，并且在整个过程中不需要将可执行文件从WinSxS文件夹复制到该文件夹中。