Nowa luka w Windows: aplikacje ładują szkodliwy kod z sieci

Nowa luka w Windows: aplikacje ładują szkodliwy kod z sieci20.08.2010 11:13
Nowa luka w Windows: aplikacje ładują szkodliwy kod z sieci
Źródło zdjęć: © Jupiterimages

Wiele wskazuje na to, że sposób w jaki Windows pobiera biblioteki dla programów innych producentów, jest wykorzystywany przez napastników do uruchamiania własnych programów w systemie ofiary. Według rożnych informacji źródłem tego problemu ma być to, że programy podczas ładowania powiązanych z nimi plików (Safe Files) z zewnętrznych źródeł próbują również pobrać stamtąd określone biblioteki

Wiele wskazuje na to, że sposób w jaki Windows pobiera biblioteki dla programów innych producentów jest wykorzystywany przez napastników do uruchamiania własnych programów w systemie ofiary. Według rożnych informacji źródłem tego problemu ma być to, że programy podczas ładowania powiązanych z nimi plików (Safe Files) z zewnętrznych źródeł próbują również pobrać stamtąd określone biblioteki.

Jeśli napastnik na napędzie sieciowym pozostawi plik MP3 i odpowiednio spreparowaną bibliotekę DLL (z odpowiednią nazwą), to odtwarzacz multimediów po uruchomieniu (w określonych warunkach) załaduje także DLL i wykona go z kodem, który napastnik umieścił w bibliotece. Ofiara musi jednak sama otworzyć plik z napędu sieciowego - aczkolwiek dzięki metodom socjotechnicznym stosowanym przez cyberoszustów nie stanowi to problemu.

288769771649120403
Źródło zdjęć: © (fot. Jupiterimages)

Nie wiadomo jeszcze które dokładnie programy są podatne na tego typu ataki. Lukę tę można jednak wykorzystywać także poprzez protokół HTTP i jego rozszerzenie WebDAV. Według Moore'a - twórcy frameworka Metasploit HF zagrożenie dotyczy około 4. programów różnych producentów. Nie określono również, w których wersjach Windows taki błąd może być wykorzystany. W ciągu kilku najbliższych dni Moore zamierza ujawnić więcej informacji.

Microsoft został poinformowany o luce i ją analizuje. Problem ujrzał światło dzienne po tym, jak w minioną środę (11 sierpnia) specjalizująca się w zabezpieczeniach firma ACROS opublikowała raport, w którym opisała bardzo podobny błąd w Apple iTunes dla Windows - błąd ten już usunięto w iTunes 9.2.1 cztery tygodnie temu.

W związku z brakiem łat i informacji o podatnych aplikacjach problem można rozwiązać jedynie poprzez zablokowanie połączeń protokołów SMB i WebDAV z Internetem.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (10)