Jonkin aikaa jäljessä oli raportteja tietoturvaongelmasta, joka vaikutti noin 40 erilaiseen Windows-sovellukseen. Microsoft on vastannut nopeasti tällaisiin raportteihin mahdollisista nollapäiväisistä hyökkäyksistä tällaisiin Windows-ohjelmiin julkaisemalla päivityksen tai työkalun tällaisten hyökkäysten estämiseen. Microsoft kuitenkin selvensi, että virhe ei ole Windowsissa.
Työkalu estää DLL-kuorman kaappauksen hyökkäykset
Microsoft on julkaissut Security Advisory (2269637) otsikon "Epävarman kirjaston lataaminen voi sallia koodin suorittamisen verkossa".
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft on myös julkaissut päivityksen, joka estää DLL-tiedostojen lataamisen etähakemistosta, mikä estää DLL Hijackingsin käytön.
Tämä päivitys tuo mukanaan uuden rekisteriavaimen CWDIllegalInDllSearch, jonka avulla käyttäjät voivat hallita DLL-hakupolun algoritmia. DLL-hakupolun algoritmia käyttävät LoadLibrary API ja LoadLibraryEx API, kun DLL-tiedostoja ladataan määrittelemättä täysin pätevää polkua.
Kun sovellus lataa DLL-tiedoston dynaamisesti määrittelemättä täysin pätevää polkua, Windows yrittää löytää tämän DLL: n etsimällä läpi hyvin määritellyn hakemistojoukon. Nämä hakemistojen sarjat tunnetaan DLL-hakupolusta. Kun Windows etsii DLL: n hakemistoon, Windows lataa kyseisen DLL: n. Jos Windows ei löydä DLL-hakemistoa missään DLL-haun tilauksessa, Windows palauttaa virheen DLL-lataustoimintoon.
Lisätietoja ja ladattavat linkit osoitteessa KB2264107.
