Skip to content Skip to sidebar Skip to footer

BitDefender weist auf OneDrive DLL-Sideloading-Schwachstelle hin

OneDrive DLL-Sideloading-Schwachstelle – BitDefender gibt Informationen heraus

Der Sicherheitsdienstleister BitDefender, bekannt für Softwarelösungen wie Bitdefender Small Office Security 2022, Bitdefender Mobile Security 2022 und Bitdefender Total Security 2022, hat Informationen über eine DLL-Seitenlade-Schwachstelle von OneDrive veröffentlicht, die in freier Wildbahn ausgenutzt wird. Den Informationen zufolge nutzen böswillige Akteure die Schwachstelle aus, um Kryptowährung auf erfolgreich ausgenutzten Maschinen zu schürfen. Was Sie über die Schwachstelle wissen sollten, fassen wir in diesem Blogbeitrag zusammen.

DLL-Hijacking – eine oft genutzte Angriffsmethode

DLL-Hijacking ist ein häufiges Ereignis unter Windows. Das Betriebssystem verwendet ein Prioritätssystem, um zu bestimmen, von welchem Speicherort eine DLL-Datei geladen wird, wenn von einer Anwendung kein vollständiger Pfad angegeben wird. DLL-Hijacking-Angriffe missbrauchen dieses System, um bösartige Dateien an einem Ort mit höherer Priorität zu platzieren. Das Programm lädt dann die bösartige DLL anstelle der legitimen DLL-Datei.

Im Fall der bösartigen OneDrive-Kampagne nutzen die Angreifer dieses Konzept, um eine bösartige DLL-Datei in den Benutzerordner auf dem System einzuschleusen. Insbesondere wird eine gefälschte DLL-Datei secure32.dll in einem nicht erhöhten Prozess in %LocalAppData%\Microsoft\OneDrive\ geschrieben. Diese schädliche Dynamic Link Library wird dann von den beiden OneDrive-Prozessen OneDrive.exe und OneDriveStandaloneUpdater.exe geladen.

Der OneDrive-Updater-Prozess soll bereits einmal pro Tag ausgeführt werden, womit die Cyberkriminellen sicherstellen, dass die Malware mindestens einmal pro Tag auf das System geladen wird, sofern sie nicht von Antivirensoftware erkannt wird. Die böswilligen Akteure fügen auch OneDrive.exe zum Start des Betriebssystems hinzu, um die Persistenz noch robuster zu machen.

Aktuelle Antivirenprogramme wie Bitdefender Internet Security 2022 und Bitdefender Total Security 2022 helfen dabei, Malware vor einem tatsächlichen Schaden zu neutralisieren.

Was macht die gefälschte DLL?

Wenn die gefälschte DLL zum ersten Mal geladen wird, lädt sie Kryptowährungs-Mining-Software auf das infizierte PC-System herunter, um sie auszuführen. BitDefender stellt fest, dass der Angriff zwar derzeit auf das Schürfen von Kryptowährungen beschränkt ist, die Angreifer jedoch die Möglichkeit haben, auf andere böswillige Angriffe umzusteigen, einschließlich Ransomware- oder Spyware-Bereitstellungen.

Das Sicherheitsunternehmen empfiehlt, OneDrive auf Windows-Rechnern „pro Maschine“ statt „pro Benutzer“ zu installieren, um die DLL-Hijacking-Schwachstelle zu vermeiden. Angreifer müssen in erster Linie erfolgreich in Windows-PCs eindringen, um die schädliche DLL-Datei im OneDrive-Benutzerverzeichnis zu speichern. Ein zuverlässiger Schutz vor bösartigen Bedrohungen sowie der Einsatz von gesundem Menschenverstand sollten den Angriff von vornherein verhindern.

Windows-Benutzer und -Administratoren können die OneDrive-Installation auf Windows-PCs überprüfen, um herauszufinden, ob die schädliche DLL-Datei bereits in das System eingeschleust wurde. Rufen Sie dazu %LocalAppData%\Microsoft\OneDrive\ im Datei-Explorer auf und suchen Sie die Datei im OneDrive-Verzeichnis.

Wenn Sie eine aktuelle Antivirensoftware kaufen möchten, um vor aktuellen Bedrohungen geschützt zu sein, sind Sie bei Softwarekaufen24 genau richtig. Wir bieten Ihnen verschiedene Antivirenprogramme zu einem herausragenden Preis-Leistungs-Verhältnis an.

Copyright © – softwarekaufen24.de alle Rechte vorbehalten.