Még a múlt héten kapott szárnyra a hír, hogy kritikus sebezhetőséget fedeztek fel az iTunes-ban, és bár részletek nem jelentek meg a sebezhetőséggel kapcsolatban, HD Moore úgy nyilatkozott, hogy a zenelejátszót érintő probléma még legalább 40 más alkalmazásban jelen van. Most kinyílt Pandora szelencéje, a Microsoft figyelmeztetőt jelentetett meg, majd megjelent egy sor alkalmazásspecifikus exploit is.

De miről is van szó? A Windows alapértelmezetten engedélyezi a távoli WebDAV megosztásokhoz történő hozzáférést akár böngészőn keresztül. Egy támadó így akár egy linken keresztül elcsalhatja az áldozatát egy olyan megosztásra, amely egy sebezhető alkalmazáshoz tartozó típusú fájlt tartalmaz. Ez a fájl nem tartalmaz semmilyen ártó kódot, viszont a megosztáson ott figyel még egy DLL, melynek a neve megegyezik egy, a sebezhető alkalmazás által használttal. Amennyiben a szoftver nem állítja be megfelelően a DLL keresési útját (innen ered a sebezhetőség), a támadó által összeállított, megosztáson szereplő DLL fog betöltődni az alkalmazás saját függvénykönyvtára helyett.

KB: We can't fix this one - Microsoft DLL Hijacking Exploit from Offensive Security on Vimeo.

A Exploit-DB-n eddig a következő alkalmazásokhoz jelentek meg exploitok:

• Opera
• Windows Movie Maker
• Firefox
• Office PowerPoint
• uTorrent
• Wireshark

Peter van Eeckhoutte ezeken kívül még összegyűjtött párat. Látható tehát hogy a probléma a szoftverek széles skáláját érinti.

Az NSA állítólag már 12 éve felvetette ezt a lehetőséget, és *nix rendszereken is már jó ideje ismert, hogy az LD_PRELOAD, illetve LD_LIBRARY_PATH nem megfelelő beállítása hasonló problémákhoz vezet. 

A sebezhető alkalmazások detektálására a metasploitos srácok kiadták a DllHijackAuditKitv2-t, a fejlesztőknek pedig a Microsoft összeállított egy biztonságos DLL használatra nevelő útmutatót. Üzemeltetőknek ajánlott (mint mindig) letiltani az összes Internet felé irányuló WebDAV és Windows Networking kérést, de ez még nem akadályozza meg a belső hálózatról érkező támadásokat! Jobb megoldás, ha letiltjuk a WebDAV kliens szolgáltatást, valamint a 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\CWDIllegalInDllSearch

registry kulcs beállításával globálisan letiltható, hogy alkalmazások az aktuális munkakönyvtárban keressék a DLL-jeiket. Ugyanez megtehető alkalmazásspecifikusan (pontosabban a futtatandó bináris neve szerint) a 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\binaryname.exe\CWDIllegalInDllSearch

kulccsal. A beállítandó értékekért és további információért a megoldási lehetőségekről látogassatok el az SRD blogra!