Luka DLL: teraz także z plikami EXE

Wygląda na to, że luka DLL (Binary Planting) w Windows to tylko czubek góry lodowej: niebezpieczna kolejność przeszukiwania katalogów w celu znalezienia zbiorów z kodem, który ma być załadowany i uruchomiony, dotyczy nie tylko bibliotek, ale także plików EXE. Wobec tego środki podjęte przez Microsoft w celu ograniczenia problemu są mało skuteczne.

Luka DLL: teraz także z plikami EXE

Problem

W raporcie o błędzie dotyczącym niedawno zaktualizowanej przeglądarki Safari firma z branży bezpieczeństwa ACROS opisuje ten problem na podstawie przykładu: napastnik umieszcza na napędzie sieciowym plik HTML i zmanipulowany plik o nazwie explorer.exe. Jeśli ofiara otworzy go za pomocą Safari, początkowo nie dzieje się nic. Jednak zbiór zawiera odwołanie do URI zaczynającego się schematem file:// –. to powoduje, że Windows otwiera Windows Explorera (explorer.exe). Niestety, system ładuje plik z aktualnego katalogu roboczego (z napędu sieciowego) i go uruchamia.

Według firmy ACROS dotychczas zaproponowane środki zaradcze dla luki DLL nie działają poprawnie. Klucz Rejestru CWDIllegalInDllSearch uniemożliwia ładowanie kodu z aktualnego katalogu roboczego jedynie w przypadku plików DLL, ale już nie plików EXE. To samo dotyczy funkcji SetDLLDirectory(). Według ACROS nie ma niestety porównywalnej funkcji, w związku z tym pomaga jedynie układ, w którym program przed wywołaniem kolejnego procesu umieszcza aktualny katalog roboczy na końcu ścieżki przeszukiwania. Istnieje jednak różnica w zachowaniu systemu w zależności od tego, czy program jest uruchamiany za pomocą ShellExecute() czy CreateProcess(). Bliższe informacje na ten temat firma ACROS zebrała w artykule "Binary Planting Goes »EXE«".

Zagrożenie

Demonstrację problemu przedstawiono na stronie Online Binary Planting Exposure Test.

Rozwiązanie

Nie istnieje jeszcze rozwiązanie problemu.

Ochrona

Jedyną skuteczną metodą uniemożliwienia ataków zdalnych wydaje się wyłączenie w usługach klienta WebDAV.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie

Polska broń dla Ukrainy. Setki pojazdów i tajemnicze armaty 85 mm
Polska broń dla Ukrainy. Setki pojazdów i tajemnicze armaty 85 mm
Odkrycie na Marsie. Ten region skrywa tysiące kilometrów pradawnych rzek
Odkrycie na Marsie. Ten region skrywa tysiące kilometrów pradawnych rzek
Zbliża się deszcz Perseidów. W tym roku warto obserwować je wcześniej
Zbliża się deszcz Perseidów. W tym roku warto obserwować je wcześniej
Teorie spiskowe o ISS i lądowaniu na Księżycu wciąż żywe
Teorie spiskowe o ISS i lądowaniu na Księżycu wciąż żywe
Groźne pociski Rosjan. Ekspert wskazał, ile produkują miesięcznie
Groźne pociski Rosjan. Ekspert wskazał, ile produkują miesięcznie
Odtworzył twarz Jezusa. AI uważa, że tak wyglądał
Odtworzył twarz Jezusa. AI uważa, że tak wyglądał
Francja ogłasza nową strategię. Rosja zagrożeniem, ważna rola Polski
Francja ogłasza nową strategię. Rosja zagrożeniem, ważna rola Polski
"Pancerny mamut" Rosjan. Ukraińcy na jego zniszczenie mieli zużyć 60 dronów
"Pancerny mamut" Rosjan. Ukraińcy na jego zniszczenie mieli zużyć 60 dronów
Przyjrzeli się rosyjskiej bazie w Krasnojarsku. To jasny sygnał dla świata
Przyjrzeli się rosyjskiej bazie w Krasnojarsku. To jasny sygnał dla świata
Polski astronauta już w Europie. Mówi, że to "doświadczenie jego życia"
Polski astronauta już w Europie. Mówi, że to "doświadczenie jego życia"
Przekształcą kod w broń. Ukraina wspiera innowacje AI
Przekształcą kod w broń. Ukraina wspiera innowacje AI
Zmasowane ataki na Ukrainę coraz groźniejsze. Rosjanie zmienili taktykę
Zmasowane ataki na Ukrainę coraz groźniejsze. Rosjanie zmienili taktykę