OneDrive DLL Sideloading 漏洞在野外被利用

安全服务提供商 BitDefender 发布了有关 OneDrive 的 DLL 侧载漏洞的信息，该漏洞在野外被利用。 根据信息，恶意行为者利用该漏洞在成功利用的机器上挖矿加密货币。

DLL 劫持在 Windows 上很常见。 当应用程序未指定完整路径时，Windows 使用优先系统来确定从哪个位置加载 DLL 文件。 DLL 劫持攻击滥用该系统在具有更高优先级的位置植入恶意文件。 然后程序将加载恶意 DLL 而不是合法的 DLL 文件。

在 OneDrive 恶意活动的情况下，攻击者利用该概念将恶意 DLL 文件植入系统的用户文件夹中。 具体来说，伪造的secure32.dll DLL 文件在非提升进程中写入%LocalAppData%\Microsoft\OneDrive\。 该恶意动态链接库随后由两个 OneDrive 进程 OneDrive.exe 和 OneDriveStandaloneUpdater.exe 加载。

OneDrive 更新程序进程已计划每天运行一次，这可确保恶意软件每天至少在系统上加载一次，前提是防病毒软件未检测到该恶意软件。 恶意行为者还将 OneDrive.exe 添加到操作系统的启动中，以“使持久性更加强大”。

首次加载虚假 DLL 时，它会将加密货币挖矿软件下载到受感染的 PC 系统以运行它。

“一旦加载到 OneDrive 进程之一，伪造的 secur32.dll 就会下载开源加密货币挖矿软件并将其注入合法的 Windows 进程。”

BitDefender 指出，虽然目前攻击仅限于加密货币挖矿，但攻击者可以选择切换到其他恶意攻击，包括勒索软件或间谍软件部署。

安全公司建议在 Windows 机器上“按机器”而不是“按用户”安装 OneDrive，以避免 DLL 劫持漏洞。 攻击者确实需要首先成功渗透 Windows PC，才能将恶意 DLL 文件保存在 OneDrive 用户目录中。 针对恶意威胁的可靠保护以及使用常识应该首先防止攻击。

Windows 用户和管理员可以检查 Windows PC 上的 OneDrive 安装，以查明系统中是否已经植入了恶意 DLL 文件。 为此，请在文件浏览器中加载 %LocalAppData%\Microsoft\OneDrive\ 并在 OneDrive 目录中搜索该文件。

广告