¿Sabes qué es “PROGRAMDATA”?
Según CyberArk, los errores son el resultado de las DACL predeterminadas (abreviatura de Listas de control de acceso discrecional) para la carpeta “C: ProgramData” de Windows, que son las aplicaciones para almacenar datos para usuarios estándar sin necesidad de permisos adicionales. Dado que cada usuario tiene permiso de escritura y eliminación en el nivel base del directorio, aumenta la probabilidad de una escalada de privilegios cuando un proceso sin privilegios crea una nueva carpeta en “ProgramData” a la que más tarde podría acceder un proceso con privilegios.
La carpeta Program data a veces se relaciona y se confunde con Archivos de programa que en ambos casos se puede encontrar en la unidad C. Es la carpeta que asigna Windows 10 por defecto para instalar el software. … Es una carpeta que se refiere a datos de las aplicaciones que no son exclusivos de usuarios.
En un caso, se observó que dos procesos diferentes, uno con privilegios y el otro que se ejecuta como un usuario local autenticado, compartían el mismo archivo de registro, lo que podría permitir a un atacante explotar el proceso con privilegios para eliminar el archivo y crear un enlace simbólico que apunte a cualquier archivo arbitrario deseado con contenido malicioso.
Lo que quiere decir es que en ambos casos el atacante puede explotar esa vulnerabilidad, a diferencia en que uno entra digamos con acceso libre y el otro con acceso autenticado.
¿Sabes qué es DLL Hijacking attacks?
Ataques de secuestro de DLL: ¿Qué es y cómo mantenerse protegido?
Los ataques de secuestro de DLL se clasifican ampliamente en tres tipos: ataque de orden de búsqueda de DLL, ataque de carga lateral de DLL y ataque de secuestro de DLL fantasma.
Para que el ataque de secuestro de DLL tenga éxito, sería necesario que un atacante engañara a las víctimas para que abran un archivo utilizando una aplicación vulnerable desde una ubicación de red remota.
¿ESET nos ayuda a protegernos de este tipo de ataques?
Eset maneja un control sobre tal vulnerabilidad o hueco dentro de la plataforma Windows debido a que la amenaza DLL Hijacking Flaw.
Se codifica como un ransomware a diferencia de otros sistemas de control antivirus.
Las imágenes e información pueden estar protegidas bajo propiedad de autoría.
