Noen gang tilbake var det rapporter om et sikkerhetsproblem som rammet rundt 40 forskjellige Windows-apper. Microsoft har raskt svart på slike rapporter om potensielle nulldagsangrep mot slike Windows-programmer ved å publisere en oppdatering eller et verktøy for å blokkere slike utnytter. Men Microsoft forklarte også at feilen ikke er i Windows.
Verktøy for å blokkere DLL laster kapringangrep
Microsoft har utstedt en Security Advisory (2269637) med tittelen, kan Usikker Biblioteklasting tillate ekstern kjøring av kode.
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft har også gitt ut en oppdatering som vil blokkere lastingen av DLL-er fra eksterne kataloger, og dermed forhindre DLL-kapsler.
Denne oppdateringen introduserer en ny registernøkkel CWDIllegalInDllSearch som lar brukerne kontrollere DLL-søkebanalgoritmen. DLL-søkebanalgoritmen brukes av LoadLibrary API og LoadLibraryEx API når DLL er lastet uten å spesifisere en fullt kvalifisert sti.
Når et program dynamisk laster en DLL uten å spesifisere en fullt kvalifisert sti, prøver Windows å finne denne DLL ved å søke gjennom et veldefinert sett med kataloger. Disse settene med kataloger er kjent som DLL-søkebanen. Så snart Windows lokaliserer DLL i en katalog, laster Windows den DLL. Hvis Windows ikke finner DLL i noen av katalogene i DLL-søkeordren, vil Windows returnere en feil i DLL-belastningsoperasjonen.
Flere detaljer og last ned koblinger på KB2264107.
