Luka DLL: teraz także z plikami EXE

Wygląda na to, że luka DLL (Binary Planting) w Windows to tylko czubek góry lodowej: niebezpieczna kolejność przeszukiwania katalogów w celu znalezienia zbiorów z kodem, który ma być załadowany i uruchomiony, dotyczy nie tylko bibliotek, ale także plików EXE. Wobec tego środki podjęte przez Microsoft w celu ograniczenia problemu są mało skuteczne.

Obraz

Problem

W raporcie o błędzie dotyczącym niedawno zaktualizowanej przeglądarki Safari firma z branży bezpieczeństwa ACROS opisuje ten problem na podstawie przykładu: napastnik umieszcza na napędzie sieciowym plik HTML i zmanipulowany plik o nazwie explorer.exe. Jeśli ofiara otworzy go za pomocą Safari, początkowo nie dzieje się nic. Jednak zbiór zawiera odwołanie do URI zaczynającego się schematem file:// –. to powoduje, że Windows otwiera Windows Explorera (explorer.exe). Niestety, system ładuje plik z aktualnego katalogu roboczego (z napędu sieciowego) i go uruchamia.

Według firmy ACROS dotychczas zaproponowane środki zaradcze dla luki DLL nie działają poprawnie. Klucz Rejestru CWDIllegalInDllSearch uniemożliwia ładowanie kodu z aktualnego katalogu roboczego jedynie w przypadku plików DLL, ale już nie plików EXE. To samo dotyczy funkcji SetDLLDirectory(). Według ACROS nie ma niestety porównywalnej funkcji, w związku z tym pomaga jedynie układ, w którym program przed wywołaniem kolejnego procesu umieszcza aktualny katalog roboczy na końcu ścieżki przeszukiwania. Istnieje jednak różnica w zachowaniu systemu w zależności od tego, czy program jest uruchamiany za pomocą ShellExecute() czy CreateProcess(). Bliższe informacje na ten temat firma ACROS zebrała w artykule "Binary Planting Goes »EXE«".

Zagrożenie

Demonstrację problemu przedstawiono na stronie Online Binary Planting Exposure Test.

Rozwiązanie

Nie istnieje jeszcze rozwiązanie problemu.

Ochrona

Jedyną skuteczną metodą uniemożliwienia ataków zdalnych wydaje się wyłączenie w usługach klienta WebDAV.

wydanie internetowe www.heise-online.pl

internet microsoft luka windows

Wybrane dla Ciebie

Microsoft zdecydował. Wyłączy usługi dla izraelskiego resortu obrony
Microsoft zdecydował. Wyłączy usługi dla izraelskiego resortu obrony
Chiński myśliwiec nowej generacji. Do sieci trafiły jego zdjęcia
Chiński myśliwiec nowej generacji. Do sieci trafiły jego zdjęcia
Polska masowo kupuje tę broń. Wydaje pięć razy więcej niż USA
Polska masowo kupuje tę broń. Wydaje pięć razy więcej niż USA
Kombucza w kosmosie. Nasiona na pokładzie polskiej rakiety Perun
Kombucza w kosmosie. Nasiona na pokładzie polskiej rakiety Perun
Pocisk, który przeraża Rosję. Zbudowali go z części ze złomowisk
Pocisk, który przeraża Rosję. Zbudowali go z części ze złomowisk
Ekosystemy w głębinach Bałtyku. Życie rozkwita na wojennych głowicach
Ekosystemy w głębinach Bałtyku. Życie rozkwita na wojennych głowicach
Chcą chronić Księżyc przed asteroidą. NASA chce użyć broni jądrowej
Chcą chronić Księżyc przed asteroidą. NASA chce użyć broni jądrowej
Historyczna chwila. Luftwaffe i będące pierwszy raz w Europie JASDF razem
Historyczna chwila. Luftwaffe i będące pierwszy raz w Europie JASDF razem
Czym zatrzymać czołgi Putina? Wielkie zakupy broni przeciwpancernej
Czym zatrzymać czołgi Putina? Wielkie zakupy broni przeciwpancernej
Tajemniczy dron z dodatkowymi kamerami. Rosjanie mają w tym swój cel
Tajemniczy dron z dodatkowymi kamerami. Rosjanie mają w tym swój cel
Nowe informacje o systemie kaucyjnym. Na razie bez pojemników po mleku
Nowe informacje o systemie kaucyjnym. Na razie bez pojemników po mleku
Pierwszy taki przypadek w Rosji. Z początku myśleli, że to ptak
Pierwszy taki przypadek w Rosji. Z początku myśleli, że to ptak