Détournement de DLL.

Attaque qui abuse de l'ordre de recherche des DLL de Windows pour qu'un programme légitime charge une bibliothèque contrôlée par l'attaquant au lieu de la bibliothèque attendue. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Attaque qui abuse de l'ordre de recherche des DLL de Windows pour qu'un programme légitime charge une bibliothèque contrôlée par l'attaquant au lieu de la bibliothèque attendue.

Le DLL hijacking (MITRE ATT&CK T1574.001) exploite la manière dont Windows résout les bibliothèques dynamiques : lorsqu'une application demande une DLL par son nom sans chemin absolu, le chargeur parcourt une liste prévisible de répertoires. Un attaquant capable d'écrire une DLL malveillante dans un emplacement de priorité plus élevée (répertoire de l'application, entrée PATH inscriptible, dossier side-by-side) fait exécuter son code dans le contexte d'un processus de confiance, souvent signé. La technique fournit à la fois exécution et persistance, et contourne de nombreuses listes d'autorisation. Les défenses comprennent l'usage de chemins absolus, l'activation de SafeDllSearchMode, des règles WDAC/AppLocker, la surveillance des chargements d'images via Sysmon event 7 et le correctif des installateurs vulnérables.

Les défenses contre Détournement de DLL combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Hijacking de l'ordre de recherche DLL, Préchargement de DLL.