PwC Birleşik Krallık’tan güvenlik araştırmacısı olan Wietze Beukema, yaptığı açıklamada 300 kadar Windows 10 yürütülebilir dosyasının DLL ele geçirme saldırılarına açık olduğunu ifade etti.

Açıklamada, System32 dosyasının göreceli yol DLL ele geçirmeye açık olduğu ifade edilirken basit bir VBScript ile bu uygulama dosyalarının kullanılabileceği, hatta UAC’nin tamamen baypas edilebileceği ifade edildi.

Burada sözü edilen güvenlik açığı, saldırganın seçtiği rastgele bir DLL dosyasını yüklemesine yönelik meşru DLL korsanlığı.

DLL saldırıları, keyfi kod yürütme, ayrıcalık yükseltme ve hedef sistemde kalıcılık gibi yetenekler sağladığından, yetenekli bir saldırgan için yararlı olabilir.

Beukema'nın blog yazısı tarafından kapsanan çeşitli DLL ele geçirme teknikleri DLL değiştirme, DLL Proxy, DLL arama sırası kaçırma, Phantom DLL kaçırma, DLL yeniden yönlendirme, WinSxS DLL değiştirme ve göreli yol DLL ele geçirme içeriyor.

Bu tür saldırılardan korunmak için Windows dosyalarındaki aktivitelere bakmak, UAC ayarlarını “daima haberdar et” olarak ayarlamak gerekiyor.