Narzędzie Microsoftu, które miało naprawiać - psuje

Strona głównaNarzędzie Microsoftu, które miało naprawiać - psuje
31.08.2010 15:09
Narzędzie Microsoftu, które miało naprawiać - psuje
Źródło zdjęć: © heise-online.pl

Opublikowane w ubiegłym tygodniu narzędzie Microsoftu do ograniczenia luki DLL powoduje, że niektóre programy przestają funkcjonować tak, jak powinny: jeśli chcemy za pomocą narzędzia skutecznie uniemożliwić napastnikowi podsuwanie programom zarażonych bibliotek, najlepiej nadać nowo założonemu kluczowi rejestru wartość DWORD 0xFFFFFFFF (ffffffff).

Opublikowane w ubiegłym tygodniu narzędzie Microsoftu do ograniczenia luki DLL powoduje, że niektóre programy przestają funkcjonować tak, jak powinny: jeśli chcemy za pomocą narzędzia skutecznie uniemożliwić napastnikowi podsuwanie programom zarażonych bibliotek, najlepiej nadać nowo założonemu kluczowi rejestru wartość DWORD 0xFFFFFFFF (ffffffff).

W ten sposób katalog roboczy, który może znajdować się także w udziale sieciowym, może być globalnie usunięty z porządku wyszukiwania DLL w Windows.

288769768293742739
Źródło zdjęć: © Jeśli narzędzie Microsoftu jest zbyt restrykcyjnie skonfigurowane, z Chrome'a praktycznie nie da się korzystać (fot. heise-online.pl)

Problem

Niestety, wprowadzając ochronę, sprawiamy, że niepoprawnie funkcjonują programy, które oczekują od Windows brania pod uwagę katalogu bieżącego podczas poszukiwania bibliotek. Chodzi przede wszystkim o aplikacje, które wcale nie są podatne na tak zwany DLL Hijacking. Najbardziej jaskrawym przykładem jest obecnie Google Chrome. Jeśli klucz Rejestru został ustanowiony tak, jak powyżej opisano, przeglądarka nie może znaleźć pliku avutil-50.dll, kiedy program sam się uruchomi albo kiedy otworzymy w nim nową kartę. Jeśli jakaś strona zawiera element wideo HTML5, wyświetlenie całej strony kończy się fiaskiem. Na naszym systemie testowym Windows 7 wolny program graficzny GIMP nie był w stanie znaleźć swoich wtyczek. Według relacji użytkowników do problemów dochodzi także przy używaniu usługi do gier Steam i plug-inu Javy dla Mozilli. Rozwiązanie

W takich przypadkach pomocne może okazać się pojedyncze wykluczanie problematycznych programów ze zmienionego sposobu wyszukiwania albo też złagodzenie zasad zabezpieczeń dla danego przypadku. W tym celu dodajemy nową wartość DWORD o nazwach CWDIllegalInDllSearch w HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nazwaprogramu.exe\ i ustawiamy ją na 0. co powoduje, że zachowania wyszukiwawcze względem programu są takie, jakie być powinny. Należy jednak zaznaczyć, że mogą one także znowu stać się przyczyną podatności na ataki typu DLL Hijacking.

Skutecznym, trzecim rozwiązaniem jest wpisanie wartości 2. wówczas katalog roboczy będzie jedynie usunięty z porządku wyszukiwania, jeśli znajduje się w katalogu sieciowym. Taki wybór chroni przed atakami zdalnymi, w których ofiara zostaje przekierowana do zmanipulowanych udziałów SMB albo WebDAV. Wartość 1 zapobiega atakom DLL Hijacking jedynie z wykorzystaniem WebDAV.

288769768294004883
Źródło zdjęć: © Problematyczne programy można wziąć w karby za pomocą reguł wyjątków (fot. heise-online.pl)

Najlepszym wyjściem są jednak patche od producentów, które na razie wydano jedynie dla niektórych programów. Np. programiści VLC i µTorrenta zareagowali szybko na opublikowane exploity –. które obecnie pojawiają się jak grzyby po deszczu – chroniąc swoje programy przed atakami.

Jeśli ktoś chciałby zapewnić sobie przynajmniej ogólny przegląd w nadchodzącym zalewie łatek, może zaryzykować flirt z programem Secunia PSI. To darmowe narzędzie komunikuje się z wielką bazą danych informacji o programach i informuje za każdym razem, kiedy tylko zainstalowany program pojawia się w nowszej wersji do pobrania. Listy aplikacji podatnych na ataki znajdziemy np. w Exploit Database i Corelan.be.

Według specjalisty od zabezpieczeń Tima Browna od tej problematyki nie są wolne także niektóre dystrybucje GNU/Linuksa: jeśli nie ustawiono zmiennej środowiskowej LDLIBRARYPATH, program może pobierać biblioteki z aktualnego katalogu bieżącego – czego jednak nie da się tak łatwo wykorzystać, jak zauważa Brown w rozmowie z Threatpost.

wydanie internetowe www.heise-online.pl

Udostępnij:
Wybrane dla Ciebie
Komentarze (95)