Un experto en seguridad ha desarrollado una herramienta que es capaz
de analizar DLLs y determinar si han sido secuestradas. Ha sido bautizada con
el nombre de Siofra.
Para llevar a cabo
este ataque, los ciberdelincuentes concentran sobre todo sus esfuerzos en
afectar a librerías que sean utilizadas por procesos que estén en ejecución,
prefiriendo sobre todo aquellas que pertenece al sistema operativo Windows.
Forrest Williams ha
sido el experto en seguridad encarga de desarrollar esta herramienta con una
doble función. No solo permite analizar las DDLs en busca de aquellas que han
sido secuestradas. También ofrece la posibilidad de saber cómo se puede llevar
a cabo la explotación de la vulnerabilidad.
Siofra es una herramienta que ayuda a los dos
bandos
O al menos es lo que
parece a simple vista. El investigador ha informado sobre este aspecto para
tratar de calmar las aguas. Son muchas las críticas que le han llovido, pero
todo parece indicar que se trata de una solución radical. Microsoft esta importancia
en muchas ocasiones a los fallos de seguridad que permiten el secuestro de las
DLLs de sus sistemas operativos. De este modo, se verán obligados a tomar
cartas en el asunto e involucrarse de una forma directa para poner punto y
final a los problemas.
Podría decirse que el
resultado es el mismo que cuando se publica el exploit o la forma de
aprovecharse de una vulnerabilidad, buscando que la empresa afectada reaccione
y ponga una solución sobre la mesa.
¿En qué consiste el “secuestro de DLLs?
Lo hemos mencionado
en varias ocasiones, pero no hemos concretado en exceso. Para todos aquellos
que no conozcan esta técnica de infección, se trata de una forma de instalar
software malicioso en un dispositivo con sistema operativo Windows utilizando
como alojamiento las librerías dinámicas existentes. Si a esto le sumamos que
todas ellas serán utilizadas por un proceso autorizado en el sistema, nos
encontramos con el escenario ideal para adquirir persistencia y ejecutar código
con el nivel máximo de privilegios.
El investigador y
desarrollador de la herramienta argumenta que no se está asistiendo a un
crecimiento de estos ataques, sino al aumento de fallos de seguridad en estas
librerías que no están encontrando solución alguna por parte de Microsoft.
Fuente: Security Week
