Vulnerabilità del sideloading della DLL di OneDrive sfruttata in natura

Il fornitore di servizi di sicurezza BitDefender ha pubblicato informazioni su una vulnerabilità di caricamento laterale DLL di OneDrive che viene sfruttata in natura. Secondo le informazioni, gli attori malintenzionati sfruttano la vulnerabilità per estrarre criptovaluta su macchine sfruttate con successo.

cartella utente onedrive

Il dirottamento della DLL è un evento comune su Windows. Windows utilizza un sistema di priorità per determinare da quale posizione viene caricato un file DLL, quando un’applicazione non specifica un percorso completo. Gli attacchi di dirottamento DLL abusano di quel sistema per piantare file dannosi in una posizione con una priorità più alta. Il programma caricherà quindi la DLL dannosa invece del file DLL legittimo.

Nel caso della campagna dannosa di OneDrive, gli aggressori utilizzano questo concetto per inserire un file DLL dannoso nella cartella utente del sistema. In particolare, un falso file DLL secure32.dll viene scritto in %LocalAppData%MicrosoftOneDrive in un processo non elevato. Questa libreria dannosa di collegamento dinamico viene quindi caricata dai due processi di OneDrive OneDrive.exe e OneDriveStandaloneUpdater.exe.

Il processo di aggiornamento di OneDrive è già programmato per l’esecuzione una volta al giorno, il che garantisce che il malware venga caricato almeno una volta al giorno sul sistema, a condizione che non venga rilevato dal software antivirus. Gli attori malintenzionati aggiungono OneDrive.exe all’avvio del sistema operativo anche per “rendere la persistenza ancora più robusta”.

Quando la falsa DLL viene caricata per la prima volta, scarica il software di mining di criptovaluta sul sistema PC infetto per eseguirlo.

“Una volta caricato in uno dei processi OneDrive, il falso secur32.dll scarica il software di mining di criptovaluta open source e lo inietta nei processi Windows legittimi”.

BitDefender osserva che, sebbene l’attacco sia attualmente limitato al mining di criptovalute, gli aggressori hanno opzioni per passare ad altri attacchi dannosi, tra cui distribuzioni di ransomware o spyware.

La società di sicurezza consiglia di installare OneDrive “per macchina” anziché “per utente” sui computer Windows per evitare la vulnerabilità del dirottamento della DLL. Gli aggressori devono innanzitutto penetrare correttamente nei PC Windows per salvare il file DLL dannoso nella directory utente di OneDrive. Una protezione affidabile contro le minacce dannose e l’uso del buon senso dovrebbero innanzitutto prevenire l’attacco.

Gli utenti e gli amministratori di Windows possono controllare l’installazione di OneDrive su PC Windows per scoprire se il file DLL dannoso è già stato installato nel sistema. Per farlo, carica %LocalAppData%MicrosoftOneDrive in Esplora file e cerca il file nella directory di OneDrive.