Microsoft julkaisee työkalun DLL-kaappauksen hyökkäysten estämiseksi

Jo jonkin aikaa jäljessä oli raportteja tietoturvaongelmasta, joka vaikutti noin 40 erilaiseen Windows-sovellukseen. Microsoft on vastannut nopeasti tällaisiin raportteihin mahdollisista nollapäiväisistä hyökkäyksistä tällaisiin Windows-ohjelmiin julkaisemalla päivityksen tai työkalun tällaisten hyökkäysten estämiseen.

Työkalu estää DLL-latausten kaappauksen hyökkäykset

Microsoft on julkaissut Security Advisory (2269637) otsikon "Epävarman kirjaston lataaminen voi sallia koodin suorittamisen verkossa".

"< Microsoft on tietoinen siitä, että on julkaistu tutkimusta, jossa eritellään haavoittuvuuksien luokan haavoittuvuusvektori, joka vaikuttaa siihen, miten sovellukset lataavat ulkoisia kirjastoja. Tämä ongelma johtuu tietyistä epävarmoista ohjelmointikäytännöistä, jotka mahdollistavat niin sanotut "binääriasennukset" tai "DLL-esilataamisen hyökkäykset". Nämä käytännöt voivat sallia, että hyökkääjä etäämme suorittamaan mielivaltaisen koodin haavoittuvassa sovelluksessa käyttävän käyttäjän yhteydessä, kun käyttäjä avaa tiedostoa epäluotettavasta paikasta. "

Microsoft on myös julkaissut päivityksen, joka estää DLL: n lataamisen kauko-hakemistoja, mikä estää DLL Hijackingsin.

Tämä päivitys tuo mukanaan uuden rekisteriavaimen CWDIllegalInDllSearch, jonka avulla käyttäjät voivat hallita DLL-hakupolun algoritmia. DLL-hakupolun algoritmia käyttävät LoadLibrary API ja LoadLibraryEx API, kun DLL-tiedostoja ladataan määrittelemättä täysin pätevää polkua.

Kun sovellus dynaamisesti lataa DLL: n määrittämättä täysin pätevää polkua, Windows yrittää löytää tämän DLL: n etsimällä hyvin määriteltyjä hakemistoja. Nämä hakemistojen sarjat tunnetaan DLL-hakupolusta. Kun Windows etsii DLL: n hakemistoon, Windows lataa kyseisen DLL: n. Jos Windows ei löydä mitään DLL-haun järjestyksessä olevista hakemistoista, Windows palauttaa virheen DLL-lataustoimintoon.

Lisätietoja ja latauslinkit osoitteessa KB2264107.