Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

DLL hijacking

2010.08.25. 11:37 | buherator | 7 komment

Még a múlt héten kapott szárnyra a hír, hogy kritikus sebezhetőséget fedeztek fel az iTunes-ban, és bár részletek nem jelentek meg a sebezhetőséggel kapcsolatban, HD Moore úgy nyilatkozott, hogy a zenelejátszót érintő probléma még legalább 40 más alkalmazásban jelen van. Most kinyílt Pandora szelencéje, a Microsoft figyelmeztetőt jelentetett meg, majd megjelent egy sor alkalmazásspecifikus exploit is.

De miről is van szó? A Windows alapértelmezetten engedélyezi a távoli WebDAV megosztásokhoz történő hozzáférést akár böngészőn keresztül. Egy támadó így akár egy linken keresztül elcsalhatja az áldozatát egy olyan megosztásra, amely egy sebezhető alkalmazáshoz tartozó típusú fájlt tartalmaz. Ez a fájl nem tartalmaz semmilyen ártó kódot, viszont a megosztáson ott figyel még egy DLL, melynek a neve megegyezik egy, a sebezhető alkalmazás által használttal. Amennyiben a szoftver nem állítja be megfelelően a DLL keresési útját (innen ered a sebezhetőség), a támadó által összeállított, megosztáson szereplő DLL fog betöltődni az alkalmazás saját függvénykönyvtára helyett.

KB: We can't fix this one - Microsoft DLL Hijacking Exploit from Offensive Security on Vimeo.

A Exploit-DB-n eddig a következő alkalmazásokhoz jelentek meg exploitok:

Peter van Eeckhoutte ezeken kívül még összegyűjtött párat. Látható tehát hogy a probléma a szoftverek széles skáláját érinti.

Az NSA állítólag már 12 éve felvetette ezt a lehetőséget, és *nix rendszereken is már jó ideje ismert, hogy az LD_PRELOAD, illetve LD_LIBRARY_PATH nem megfelelő beállítása hasonló problémákhoz vezet

A sebezhető alkalmazások detektálására a metasploitos srácok kiadták a DllHijackAuditKitv2-t, a fejlesztőknek pedig a Microsoft összeállított egy biztonságos DLL használatra nevelő útmutatót. Üzemeltetőknek ajánlott (mint mindig) letiltani az összes Internet felé irányuló WebDAV és Windows Networking kérést, de ez még nem akadályozza meg a belső hálózatról érkező támadásokat! Jobb megoldás, ha letiltjuk a WebDAV kliens szolgáltatást, valamint a 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\CWDIllegalInDllSearch

registry kulcs beállításával globálisan letiltható, hogy alkalmazások az aktuális munkakönyvtárban keressék a DLL-jeiket. Ugyanez megtehető alkalmazásspecifikusan (pontosabban a futtatandó bináris neve szerint) a 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\binaryname.exe\CWDIllegalInDllSearch

kulccsal. A beállítandó értékekért és további információért a megoldási lehetőségekről látogassatok el az SRD blogra!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Meister · https://www.facebook.com/Meister1977 2010.08.25. 21:02:52

Visual Studio 2010
DAEMON Tools Lite 4.30.4.0027
Google Earth
iso buster
moviemaker
Power Point 2007
Roxio Central
Skype
VLC Player
wab.exe
wmenc.exe
Windows Live Mail kliens

Na, ezek csak az én gépemen. Van köztük minden gyártó. :-)

Tyrannos 2010.08.25. 22:28:26

Az AVG csapat se tétlenkedik, serényen kapja el a feltelepülő dll-eket :)

Meister · https://www.facebook.com/Meister1977 2010.08.26. 11:19:43

Siiiix, ha jól olvastam az eredeti bejelentést, a hiba érinti a Linux rendszereket is.

Meister · https://www.facebook.com/Meister1977 2010.08.26. 11:22:17

De lehet, hogy most kevertem egy másik hibával, aminek az alapja volt működőképes (persze más megvalósítással) Linuxon is. Na mindegy. Ne legyen flame. Fáradt vagyok még így hajnalban. :-)

Hunger 2010.09.01. 10:38:35

@Siiiiix: kac-kac

"DLL hijacking on Linux" ... "The vulnerability was introduced by Debian patch"

seclists.org/fulldisclosure/2010/Aug/296

Pas · http://pasthelod.hell-and-heaven.org 2010.09.08. 22:21:08

Ha minden kurva szirszarra van registry beállíási lehetőség arra miért nincs, hogy csak olyan DLL-t töltsön be, ami a gépházon belüli meghajtóról jön? Vagy legalább megadhassam, hogy melyikekről lehessen.

Azt letiltani, hogy az aktuális könyvtárból betöltsön egy DLL-t, elég hamar működésképtelenné tehet jó pár alkalmazást. Így a Corpo réten biztosan fontosabbnak fogják tartani, hogy a drága pénzen vásárolt 20 éve COBOLban íródott szarjuk fusson, minthogy ne legyenek a világ szpemhadseregének oszlopos tagjai.