Napastnicy wykorzystują lukę DLL w pakiecie MS Office i innych aplikacjach

Przestępcy wykorzystują już usterkę DLL w wielu aplikacjach – ostrzega Internet Storm Center. Wśród atakowanych programów są między innymi Microsoft Office, Windows Mail i µTorrent.

Przestępcy wykorzystują już usterkę DLL w wielu aplikacjach – ostrzega Internet Storm Center. Wśród atakowanych programów są między innymi Microsoft Office, Windows Mail i µTorrent.

Liczba zagrożonych aplikacji rośnie niemal z godziny na godzinę – wpisując w serwisie Exploit Database frazę wyszukiwania "DLL hijacking", otrzymujemy na bieżąco nowe exploity pisane specjalnie pod kątem popularnego oprogramowania użytkowego. Pojawiają się tam takie znane nazwy jak Photoshop, VLC czy Thunderbird.

W przypadku tak zwanych ataków DLL Hijacking lub Binary Planting napastnicy wykorzystują niedoskonałość mechanizmu wyszukiwania bibliotek DLL w Windows: jeśli twórca aplikacji nie określił jasno ścieżki pliku DLL, system operacyjny szuka go po kolei w różnych folderach. Na przedostatnim miejscu listy wymieniony jest z reguły katalog bieżący, który może się znajdować także na współdzielonym napędzie sieciowym. Niekiedy aplikacje usiłują ładować biblioteki DLL, nie wiedząc nawet, czy faktycznie są one zainstalowane –. chodzi na przykład o kodeki wideo. Jeśli program zażąda pliku DLL, którego nie ma na komputerze, wówczas system operacyjny przejrzy również katalog bieżący.

Gdy uruchomimy aplikację Media Player Classic bezpośrednio z plikiem MP3 zapisanym we współdzielonym folderze SMB lub WebDAV, program poszuka w nim opcjonalnej biblioteki kodekowej iacenc.dll. Jeśli znajdzie tam spreparowany plik o tej nazwie, to wykona zawarty w nim szkodliwy kod.

W ramach ochrony Microsoft proponuje specjalne narzędzie administracyjne, które po zainstalowaniu pozwoli wpłynąć na proces wyszukiwania bibliotek DLL przez modyfikację odpowiednich wpisów Rejestru, a nawet usunięcie z listy katalogu bieżącego.

Autorzy aplikacji są proszeni o załatanie luki we własnych produktach, gdyż Microsoft prawdopodobnie nie przygotuje stosownej poprawki.

Można się spierać, czy wina za tę fatalną sytuację leży po stronie dokumentacji, narzędzi programistycznych czy też samych programistów. Specjaliści z NSA już przed 12 laty ostrzegali przed problemem, a ponad dwa lata temu również ekspert Microsoftu ds. spraw bezpieczeństwa David LeBlanc wskazywał na zagrożenie we wpisie w blogu. Jednak do tej pory chyba nikt nie przypuszczał, że lukę tę da się wykorzystać także za pośrednictwem współdzielonych folderów sieciowych.

Programiści stopniowo przygotowują łaty eliminujące usterkę, o czym poinformował nas jeden z czytelników. Zabezpieczone przed atakami DLL Hijacking są już na przykład programy VLC w wersji 1.1.4 oraz µTorrent 2.0.4.

wydanie internetowe www.heise-online.pl