OneDrive je možné oklamať falošnou knižnicou DLL.

Tú využijú hackeri, ktorí sa chcú dostať k vašim súborom alebo spustiť iný kód cez OneDrive. Práve technika sideloading je hojne využívaná aj v iných prípadoch. Tu je konkrétne knižnica version.dll, ktorú útočníci umiestnia priamo do adresára s touto cloudovou aplikáciou.

Bežne sa vyskytuje v systémovom adresári System32. Umiestnením jej falošného „dvojníka“ priamo do adresára s nainštalovanou aplikáciou sa vynechá zisťovanie inej verzie v System32 a najprv sa použije táto dynamická knižnica (DLL). Kód podvodníkov sa vďaka tomu spustí ako „overený“ a systém nič nenamieta.

Ako funguje falošná knižnica?

Túto knižnicu volajú aj iné aplikácie, ktoré chcú využiť jej funkcie pre tie svoje. To je bežná vlastnosť a takto operačný systém Windows pracuje. Falošný súbor version.dll obsahuje rovnaké funkcie ako skutočný, no tiež má svoj kód na vykonávanie škodlivých operácií na pozadí. Preto nebolo hneď zrejmé, že je v systéme podvrh.

Všetky prípadné vyskakovacie okná a známka aktivity je smerovaná na pozadie, preto používateľ a často ani bezpečnostné mechanizmy nezaznamenajú podozrivú aktivitu. Ide práve o to, že falošná knižnica využíva maskovanie za digitálny podpis.

Jedným z rýchlych riešení je zakázať načítanie DLL knižnice z vlastného adresára aplikácie, ak primárne používa tú umiestnenú v adresárovej ceste C:WindowsSystem32.

Aká je ochrana?

Vás môže ochrániť bezpečnostný softvér, ktorý síce nemusí falošnú knižnicu zachytiť ihneď, avšak reakčné doby analytikov v oblasti bezpečnosti sú rýchlejšie ako pri vývojároch softvéru. Pozor si treba dať aj na to, aby ste neinštalovali OneDrive z iných ako oficiálnych stránok Microsoftu.

Minimálne vo Windows ju už máte ako súčasť systému. Najlepším spôsobom je nechať ju aktualizovať automaticky, hoci je k dispozícii aj na stiahnutie zo stránok Microsoftu.

Zdroj: Cyber Security News

Prečítajte si aj: