Opis
Veliko število Windows aplikacij vsebuje ranljivost, ki napadalcu omogoča podtikanje izvršljivih datotek ali DLL knjižnic. Napadalec lahko to izkoristi s tem, da žrtvi ponudi datoteko za prenos. Če to datoteko odpre program, ki ranljivost vsebuje, lahko napadalec podtakne knjižnico DLL (ali celo svoj EXE ali COM program) in dobi dostop do sistema v okviru pravic uporabnika, ki je program zagnal.
DLL (Dynamic Link Library) so programske knjižnice, ki vsebujejo programske funkcije, ki jih uporablja več aplikacij. Za opravljanje posameznih opravil aplikacija naloži DLL knjižnico in nato uporablja funkcije v njej. Preko DLL knjižnic programi odpirajo, kopirajo in brišejo datoteke, odpirajo komunikacijska vrata, upravljajo z zaslonskimi okni itn.
Zgodaj spomladi je mariborsko podjetje ACROS Security odkrilo ranljivost v več Windows aplikacijah (preko 500).
Metode širjenja
Binarno datoteko lahko napadalec podtakne preko USB ključa, SMB mape v skupni rabi ali WebDAV mape.
Ranljive verzije
Večje število aplikacij za Windows operacijske sisteme.
Rešitev
Microsoft je izdal začasni popravek 2264107, preko katerega skrbnik lahko omeji nabor direktorijev, na katerih aplikacija išče DLL knjižnice. Dodatno lahko omejite dostop do zunanjih SMB naprav in izklopite WebClient storitev. Natačna navodila so navedena v Microsoftovem varnostnem obvestilu 2269637: “Insecure Library Loading Could Allow Remote Code Execution”.
Razvijalcem svetujemo, da sledijo navodilom za varno nalaganje DLL knjižnic.
Povezave
- ACROS Security Blog
- Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution
- Microsoft Support: A new CWDIllegalInDllSearch registry entry is available to control the DLL search path algorithm
- MSDN: Dynamic-Link Library Security