Actualizando información sobre DLL hijacking

Tras el artículo de ayer, en el que explicábamos desde un punto de vista más o menos técnico en qué consistía la técnica de de secuestro de librerías DLL hecha pública por Microsoft, creemos interesante informar sobre la misma pero desde un punto de vista más simple y accesible para todos los públicos.

Desde el punto de vista de un usuario medio, el aprovechamiento de esta vulnerabilidad tendría un resultado similar al de muchas otras. El usuario ejecuta un archivo o pulsa sobre un enlace buscando descargar algún fichero y, como resultado, su sistema queda infectado. Pero, ¿qué pasos se han seguido para lograr infectar nuestro sistema. El siguiente gráfico lo resume de forma sencilla:

Por poner un ejemplo, de los muchos que se podrían usar aprovechándose de este vector de ataque, supongamos que recibimos uno de los típicos correos con una presentación de PowerPoint adjunta. Si la abrimos y esta presentación ha sido modificada para cargar una librería DLL desde una ubicación remota controlada por un atacante, esta se cargará en nuestro sistema, permitiendo la ejecución de código malicioso en el mismo. También podemos ver ejemplos donde, en lugar de un archivo adjunto, encontremos un enlace a una ubicación externa y que nos invite a descargar un archivo de cualquier tipo (música, video, documentos, etc.). Si el archivo está modificado para utilizar una librería .dll modificada por el atacante, esta se cargará sin nuestro conocimiento, comprometiendo la seguridad de nuestro sistema.

Con respecto a los consejos que se pueden dar para aquellos usuarios preocupados por su seguridad, el uso de un antivirus que sea capaz de detectar las amenazas que se aprovechen de este vector de ataque es fundamental, tanto como lo es nuestro sentido común para evitar ejecutar archivos sospechosos que provienen de fuentes no confiables.

Al ser un fallo compartido tanto por Microsoft como por los desarrolladores de software, la solución a esta vulnerabilidad aun no está del todo clara. Antes que lanzar un parche problemático que bloquee u ocasione problemas en el funcionamiento de muchas aplicaciones conocidas, Microsoft aconseja a los desarrolladores, seguir un manual de buenas prácticas que evite este tipo de incidentes.

Desde el laboratorio de ESET en Ontinet.com aun no hemos observado casos masivos de malware que se aprovechen de esta vulnerabilidad aunque, como siempre, es solo cuestión de tiempo. Desde luego, tenemos muy claro que esta, y muchas otras vulnerabilidades aun desconocidas para el gran público y la mayoría de investigadores, están siendo aprovechadas desde hace meses a menor escala, pero eso es algo inherente al estado del malware en la actualidad y al negocio generado alrededor de él. Es por eso que nunca nos cansaremos de recordar la importancia mantener nuestros sistemas de seguridad (antivirus, cortafuegos, actualizaciones de sistema y aplicaciones) siempre activos para mitigar los posibles ataques que podamos sufrir.

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada.

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..