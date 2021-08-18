Dans Microsoft Windows, les programmes peuvent définir quelles bibliothèques sont chargées au moment de l'exécution en indiquant un chemin complet ou en utilisant un autre mécanisme tel qu'un manifeste. Un manifeste de programme est un fichier externe ou une ressource intégrée dans une application utilisée pour gérer les noms et les versions des assemblages partagés côte à côte que l'application doit charger lors de l'exécution. Un manifest de programme peut inclure des redirections DLL, des noms de fichiers ou des chemins complets. Si un manifeste fait référence uniquement à un nom de fichier de bibliothèque, il est considéré comme une référence faible et est vulnérable à une attaque par chargement latéral DLL.

Si une référence faible est faite à une bibliothèque, Windows tente de localiser le DLL via un ordre de recherche prédéfini. Le premier emplacement recherché par Windows est le répertoire à partir duquel l'application a été chargée.

Une attaque par chargement latéral DLL est une technique adverse qui vise à tirer parti de références de bibliothèque faibles et de l’ordre de recherche Windows par défaut en plaçant un fichier DLL malveillant se faisant passer pour une DLL légitime sur un système, qui sera automatiquement chargé par un programme légitime.

Pour plus d'informations sur le chargement latéral des DLL, reportez-vous au document MITRE ATT& CK Technique T1574.002.