Icon basierte DLL-Injektionstechnik in Windows Explorer entdeckt

Sicherheitsforscher auf Github haben eine raffinierte Icon basierte Methode zur DLL-Injektion in den Windows Explorer aufgedeckt, die das Ändern von Symbolen in Verzeichnissen ausnutzt. Diese Technik, die ohne die herkömmlichen DLL-Injektions-APIs auskommt, könnte von Cyberkriminellen genutzt werden, um Malware zu verbreiten oder Sicherheitsmaßnahmen zu umgehen.

Der Prozess beginnt mit der Erstellung eines Ordners im temporären Verzeichnis des Systems. Über die Funktion SHObjectProperties werden die Eigenschaften des Ordners geöffnet. Um den Handle des Fensters unabhängig von der Systemsprache zu erhalten, wird die Funktion EnumWindows zusammen mit einer Callback-Funktion verwendet, die nach dem eindeutigen Ordnernamen in allen offenen Fenstern sucht.

Durch das Eigenschaftenfenster gelangt man zum Dialogfeld “Symbol ändern”, dessen Handle ebenfalls mit EnumWindows abgerufen wird. Anschließend wird der Pfad des Symbols zu einer DLL geändert, die fälschlicherweise die Erweiterung .ico trägt. Dies veranlasst den Explorer, die DLL zu laden, sobald der OK-Button gedrückt wird.

Tatsächlich handelt es sich bei dem “Symbol” um eine einfache DLL-Datei, die mit der Erweiterung .ico versehen wurde und die Rechner-App öffnet. Dies wurde mittels des Tools Resource Hacker erreicht, um die Icon-Ressource hinzuzufügen.

Die Technik wurde unter zwei verschiedenen Versionen von Windows 10 sowie unter Windows 11 getestet. Interessanterweise wurde das in der DLL gespeicherte Symbol unter Windows 10 nicht angezeigt, wenn die Erweiterung zu .ico geändert wurde. Unter Windows 11 jedoch erschien das Symbol wie ein normales Icon im Explorer, führte aber zu einem Fehler, wenn es in der Foto-App geöffnet wurde.

Diese Technik bietet eine sehr unauffällige Möglichkeit, eine DLL in den Explorer-Prozess einzuschleusen, da sie nicht die üblichen DLL-Injektions-APIs verwendet. Es entstehen lediglich zwei kurze Pop-ups, die jedoch nicht stark stören. Daher könnte sie als Technik zur Umgehung von Antiviren-Software durch Bedrohungsakteure genutzt werden, um Code durch den legitimen Explorer-Prozess auszuführen oder ein UMD-Rootkit zu laden.

Related Posts

SSRF Schwachstelle in NextJs gefunden

Die Forscher von Assetnote haben eine SSRF Schwachstelle in der Bildoptimierungskomponente von NextJS gefunden, das standardmäßig aktiviert ist. Über eine fehlerhafte Konfiguration der remotePatterns in der next.config.js Datei könnte eine Blind-Side-Request-Forgery (SSRF)-Attacke ermöglicht werden. Angreifer könnten dadurch beliebige lokale URLs laden:

Read More

Go auf OSX: Sicherheitslücke erlaubt Auführung von schädlichem Code

In einem kürzlich veröffentlichten Update für Go (Golang) wurde eine bedeutende Sicherheitslücke behoben, die Systeme unter Darwin (macOS) betrifft. Die Schwachstelle CVE-2024-24787, ermöglicht es Angreifern, potenziell schädlichen Code auszuführen, indem sie eine manipulierte LTO-Bibliothek während des Build-Prozesses eines Go-Moduls mit CGO einbinden. Das Problem wurde durch die Verwendung des -lto_library-Flags in den CGO LDFLAGS ausgelöst, was vom Apple-Linker akzeptiert und ausgeführt wird.

Read More

Kritische Sicherheitslücke im WordPress-Theme Porto entdeckt

Anfang Mai 2024 wurde eine kritische Sicherheitslücke in allen Versionen des WordPress-Themes Porto for WooCommerce bis einschließlich Version 7.1.0 entdeckt. Die Schwachstelle CVE-2024-3806, ermöglicht es nicht authentifizierten Angreifern durch die Funktion ‘porto_ajax_posts’, beliebige Dateien auf dem Server einzuschließen und auszuführen. Dies könnte zur Ausführung von PHP-Code führen, was einen Zugriffskontrollenumgehung, das Erlangen sensibler Daten oder das Ausführen von Code ermöglicht, falls PHP-Dateien hochgeladen und eingebunden werden können.

Read More