攻击者可以在不提升权限的情况下执行任意代码。

网络安全公司Security Joes 发现了一种用于拦截DLL库 搜索顺序的方法的新变体，攻击者可以利用该变体绕过安全机制并在运行Windows 10 和 Windows 11 的系统上执行恶意代码。

根据 Security Joes 的报告，新方法是使用 WinSxS 受信任文件夹中的可执行文件，并使用经典的 DLL 搜索顺序欺骗技术来利用它们。该方法允许网络犯罪分子在尝试在受感染的计算机上运行恶意代码时消除升级权限的需要，以及将潜在易受攻击的二进制文件引入攻击链。

DLL 搜索顺序劫持涉及操纵用于加载 DLL 的搜索顺序以执行恶意负载，从而绕过安全性、持久性和权限升级。此类攻击的目标应用程序未指定所需库的完整路径，而是依赖预定义的搜索顺序在磁盘上查找所需的 DLL。

攻击者通过将合法系统二进制文件移动到包含与合法DLL同名的恶意DLL的非标准目录来利用此行为，从而选择恶意库而不是真正的DLL。

Security Joes 警告称，WinSxS 文件夹中可能有更多二进制文件容易受到此类 DLL 搜索顺序欺骗的影响，要求组织采取适当的预防措施，以防止这种利用技术在其环境中发生。

该公司建议密切监视 WinSxS 文件夹中的二进制文件执行的所有活动，重点关注网络通信和文件操作。