Luka DLL: teraz także z plikami EXE

Wygląda na to, że luka DLL (Binary Planting) w Windows to tylko czubek góry lodowej: niebezpieczna kolejność przeszukiwania katalogów w celu znalezienia zbiorów z kodem, który ma być załadowany i uruchomiony, dotyczy nie tylko bibliotek, ale także plików EXE. Wobec tego środki podjęte przez Microsoft w celu ograniczenia problemu są mało skuteczne.

W raporcie o błędzie dotyczącym niedawno zaktualizowanej przeglądarki Safari firma z branży bezpieczeństwa ACROS opisuje ten problem na podstawie przykładu: napastnik umieszcza na napędzie sieciowym plik HTML i zmanipulowany plik o nazwie explorer.exe. Jeśli ofiara otworzy go za pomocą Safari, początkowo nie dzieje się nic. Jednak zbiór zawiera odwołanie do URI zaczynającego się schematem file:// –. to powoduje, że Windows otwiera Windows Explorera (explorer.exe). Niestety, system ładuje plik z aktualnego katalogu roboczego (z napędu sieciowego) i go uruchamia.

Według firmy ACROS dotychczas zaproponowane środki zaradcze dla luki DLL nie działają poprawnie. Klucz Rejestru CWDIllegalInDllSearch uniemożliwia ładowanie kodu z aktualnego katalogu roboczego jedynie w przypadku plików DLL, ale już nie plików EXE. To samo dotyczy funkcji SetDLLDirectory(). Według ACROS nie ma niestety porównywalnej funkcji, w związku z tym pomaga jedynie układ, w którym program przed wywołaniem kolejnego procesu umieszcza aktualny katalog roboczy na końcu ścieżki przeszukiwania. Istnieje jednak różnica w zachowaniu systemu w zależności od tego, czy program jest uruchamiany za pomocą ShellExecute() czy CreateProcess(). Bliższe informacje na ten temat firma ACROS zebrała w artykule "Binary Planting Goes »EXE«".

Demonstrację problemu przedstawiono na stronie Online Binary Planting Exposure Test.

Nie istnieje jeszcze rozwiązanie problemu.

Jedyną skuteczną metodą uniemożliwienia ataków zdalnych wydaje się wyłączenie w usługach klienta WebDAV.

wydanie internetowe www.heise-online.pl