Attacchi a vulnerabilità, prevenzione e rilevamento di dirottamenti di dirottamenti della DLl

DLL è l`acronimo di Dynamic Link Libraries e sono parti esterne di applicazioni eseguite su Windows o altri sistemi operativi. La maggior parte delle applicazioni non sono complete di per sé e memorizzano il codice in file diversi. Se è necessario il codice, il file correlato viene caricato in memoria e utilizzato. Ciò riduce le dimensioni del file dell`applicazione ottimizzando l`utilizzo della RAM. Questo articolo spiega cosa è DLL Hijacking e come rilevarlo e prevenirlo.

Che cosa sono i file DLL o le librerie di collegamento dinamico

I file DLL sono librerie di collegamento dinamico e, come evidente dal nome, sono estensioni di diverse applicazioni. Qualsiasi applicazione che utilizziamo può o non può utilizzare determinati codici. Tali codici sono memorizzati in file diversi e vengono richiamati o caricati nella RAM solo quando è richiesto il codice correlato. In questo modo, il file dell`applicazione diventa troppo grande e impedisce l`esecuzione di risorse da parte dell`applicazione.

Il percorso per i file DLL viene impostato dal sistema operativo Windows. Il percorso è impostato utilizzando le variabili ambientali globali. Per impostazione predefinita, se un`applicazione richiede un file DLL, il sistema operativo cerca nella stessa cartella in cui è archiviata l`applicazione. Se non viene trovato lì, passa ad altre cartelle come impostato dalle variabili globali. Ci sono priorità associate ai percorsi e aiuta Windows a determinare quali cartelle cercare le DLL. È qui che entra in gioco il dirottamento della DLL.

Che cos`è il dirottamento della DLL

Poiché le DLL sono estensioni e necessarie per utilizzare quasi tutte le applicazioni sulle macchine, sono presenti sul computer in diverse cartelle come spiegato. Se il file DLL originale viene sostituito con un file DLL falso contenente codice dannoso, è noto come Dirottamento DLL.

Come accennato in precedenza, ci sono delle priorità su dove il sistema operativo cerca i file DLL. Per prima cosa, cerca nella stessa cartella della cartella dell`applicazione e quindi effettua la ricerca, in base alle priorità impostate dalle variabili di ambiente del sistema operativo. Quindi se un file good.dll si trova nella cartella SysWOW64 e qualcuno inserisce un file bad.dll in una cartella che ha una priorità più alta rispetto alla cartella SysWOW64, il sistema operativo utilizzerà il file bad.dll, poiché ha lo stesso nome della DLL richiesto dall`applicazione. Una volta nella RAM, può eseguire il codice dannoso contenuto nel file e può compromettere il computer o le reti.

Come rilevare il dirottamento della DLL

Il metodo più semplice per rilevare e impedire il dirottamento della DLL consiste nell`utilizzare strumenti di terze parti. Ci sono alcuni buoni strumenti gratuiti disponibili sul mercato che aiutano a rilevare un tentativo di hacking della DLL e prevenirlo.

Uno di questi programmi è DLL Hijack Auditor ma supporta solo applicazioni a 32 bit. Puoi installarlo sul tuo computer e scansionare tutte le tue applicazioni Windows per vedere quali sono tutte le applicazioni vulnerabili al dirottamento della DLL. l`interfaccia è semplice e autoesplicativa. l`unico inconveniente di questa applicazione è che non è possibile eseguire la scansione di applicazioni a 64 bit.

Un altro programma, per rilevare il dirottamento DLL, DLL_HIJACK_DETECT, è disponibile tramite GitHub. Questo programma controlla le applicazioni per vedere se qualcuno di questi è vulnerabile al dirottamento della DLL. Se lo è, il programma informa l`utente. l`applicazione ha due versioni - x86 e x64 in modo che sia possibile utilizzare ciascuna per scansionare rispettivamente entrambe le applicazioni a 32 bit e 64 bit.

Si noti che i programmi di cui sopra eseguono solo la scansione delle applicazioni sulla piattaforma Windows per le vulnerabilità e in realtà non lo fanno prevenire il dirottamento dei file DLL.

Come prevenire il dirottamento della DLL

Il problema dovrebbe essere affrontato dai programmatori in primo luogo in quanto non c`è molto che si possa fare se non per rafforzare i sistemi di sicurezza. Se, invece di un percorso relativo, i programmatori iniziano a utilizzare il percorso assoluto, la vulnerabilità verrà ridotta. Leggendo il percorso assoluto, Windows o qualsiasi altro sistema operativo non dipenderà dalle variabili di sistema per il percorso e andrà dritto per la DLL prevista, eliminando così le possibilità di caricare lo stesso nome DLL in un percorso con priorità più alta. Anche questo metodo non è a prova di errore perché se il sistema è compromesso ei cybercriminali conoscono il percorso esatto della DLL, sostituiranno la DLL originale con la falsa DLL. Ciò significherebbe sovrascrivere il file in modo che la DLL originale venga modificata in codice dannoso. Ma ancora una volta, il criminale informatico dovrà conoscere il percorso assoluto esatto menzionato nell`applicazione che richiede la DLL. Il processo è difficile per i criminali informatici e quindi può essere calcolato.

Tornando a quello che puoi fare, prova a scalare i tuoi sistemi di sicurezza per proteggere meglio il tuo sistema Windows. Usa un buon firewall. Se possibile, utilizzare un firewall hardware o attivare il firewall del router. Usa i buoni sistemi di rilevamento delle intrusioni in modo che tu sappia se qualcuno sta provando a giocare con il tuo computer.

Se stai cercando di risolvere i problemi, puoi anche eseguire le seguenti operazioni:

1. Disabilita il caricamento delle DLL da condivisioni di rete remote
2. Disabilita il caricamento dei file DLL da WebDAV
3. Disabilita completamente il servizio WebClient o imposta su manuale
4. Blocca le porte TCP 445 e 139 poiché sono utilizzate di più per computer compromettenti
5. Installa gli ultimi aggiornamenti per il funzionamento sistema e software di sicurezza.

Microsoft ha rilasciato uno strumento per bloccare gli attacchi di dirottamento del carico della DLL. Questo strumento riduce il rischio di attacchi di dirottamento DLL impedendo alle applicazioni di caricare in modo non corretto il codice dai file DLL.

Se desideri aggiungere qualcosa all`articolo, ti preghiamo di commentare di seguito.