Még a múlt héten kapott szárnyra a hír, hogy kritikus sebezhetőséget fedeztek fel az iTunes-ban, és bár részletek nem jelentek meg a sebezhetőséggel kapcsolatban, HD Moore úgy nyilatkozott, hogy a zenelejátszót érintő probléma még legalább 40 más alkalmazásban jelen van. Most kinyílt Pandora szelencéje, a Microsoft figyelmeztetőt jelentetett meg, majd megjelent egy sor alkalmazásspecifikus exploit is.
De miről is van szó? A Windows alapértelmezetten engedélyezi a távoli WebDAV megosztásokhoz történő hozzáférést akár böngészőn keresztül. Egy támadó így akár egy linken keresztül elcsalhatja az áldozatát egy olyan megosztásra, amely egy sebezhető alkalmazáshoz tartozó típusú fájlt tartalmaz. Ez a fájl nem tartalmaz semmilyen ártó kódot, viszont a megosztáson ott figyel még egy DLL, melynek a neve megegyezik egy, a sebezhető alkalmazás által használttal. Amennyiben a szoftver nem állítja be megfelelően a DLL keresési útját (innen ered a sebezhetőség), a támadó által összeállított, megosztáson szereplő DLL fog betöltődni az alkalmazás saját függvénykönyvtára helyett.
KB: We can't fix this one - Microsoft DLL Hijacking Exploit from Offensive Security on Vimeo.
A Exploit-DB-n eddig a következő alkalmazásokhoz jelentek meg exploitok:
Peter van Eeckhoutte ezeken kívül még összegyűjtött párat. Látható tehát hogy a probléma a szoftverek széles skáláját érinti.
Az NSA állítólag már 12 éve felvetette ezt a lehetőséget, és *nix rendszereken is már jó ideje ismert, hogy az LD_PRELOAD, illetve LD_LIBRARY_PATH nem megfelelő beállítása hasonló problémákhoz vezet.
A sebezhető alkalmazások detektálására a metasploitos srácok kiadták a DllHijackAuditKitv2-t, a fejlesztőknek pedig a Microsoft összeállított egy biztonságos DLL használatra nevelő útmutatót. Üzemeltetőknek ajánlott (mint mindig) letiltani az összes Internet felé irányuló WebDAV és Windows Networking kérést, de ez még nem akadályozza meg a belső hálózatról érkező támadásokat! Jobb megoldás, ha letiltjuk a WebDAV kliens szolgáltatást, valamint a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\CWDIllegalInDllSearch
registry kulcs beállításával globálisan letiltható, hogy alkalmazások az aktuális munkakönyvtárban keressék a DLL-jeiket. Ugyanez megtehető alkalmazásspecifikusan (pontosabban a futtatandó bináris neve szerint) a
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\binaryname.exe\CWDIllegalInDllSearch
kulccsal. A beállítandó értékekért és további információért a megoldási lehetőségekről látogassatok el az SRD blogra!
Meister · https://www.facebook.com/Meister1977 2010.08.25. 21:02:52
DAEMON Tools Lite 4.30.4.0027
Google Earth
iso buster
moviemaker
Power Point 2007
Roxio Central
Skype
VLC Player
wab.exe
wmenc.exe
Windows Live Mail kliens
Na, ezek csak az én gépemen. Van köztük minden gyártó. :-)
Tyrannos 2010.08.25. 22:28:26
Siiiiix · http://csaljunk.blog.hu 2010.08.25. 22:50:00
Meister · https://www.facebook.com/Meister1977 2010.08.26. 11:19:43
Meister · https://www.facebook.com/Meister1977 2010.08.26. 11:22:17
Hunger 2010.09.01. 10:38:35
"DLL hijacking on Linux" ... "The vulnerability was introduced by Debian patch"
seclists.org/fulldisclosure/2010/Aug/296
Pas · http://pasthelod.hell-and-heaven.org 2010.09.08. 22:21:08
Azt letiltani, hogy az aktuális könyvtárból betöltsön egy DLL-t, elég hamar működésképtelenné tehet jó pár alkalmazást. Így a Corpo réten biztosan fontosabbnak fogják tartani, hogy a drága pénzen vásárolt 20 éve COBOLban íródott szarjuk fusson, minthogy ne legyenek a világ szpemhadseregének oszlopos tagjai.