Nowa luka w Windows: aplikacje ładują szkodliwy kod z sieci

Wiele wskazuje na to, że sposób w jaki Windows pobiera biblioteki dla programów innych producentów, jest wykorzystywany przez napastników do uruchamiania własnych programów w systemie ofiary. Według rożnych informacji źródłem tego problemu ma być to, że programy podczas ładowania powiązanych z nimi plików (Safe Files) z zewnętrznych źródeł próbują również pobrać stamtąd określone biblioteki

Jeśli napastnik na napędzie sieciowym pozostawi plik MP3 i odpowiednio spreparowaną bibliotekę DLL (z odpowiednią nazwą), to odtwarzacz multimediów po uruchomieniu (w określonych warunkach) załaduje także DLL i wykona go z kodem, który napastnik umieścił w bibliotece. Ofiara musi jednak sama otworzyć plik z napędu sieciowego - aczkolwiek dzięki metodom socjotechnicznym stosowanym przez cyberoszustów nie stanowi to problemu.

Nie wiadomo jeszcze które dokładnie programy są podatne na tego typu ataki. Lukę tę można jednak wykorzystywać także poprzez protokół HTTP i jego rozszerzenie WebDAV. Według Moore'a - twórcy frameworka Metasploit HF zagrożenie dotyczy około 4. programów różnych producentów. Nie określono również, w których wersjach Windows taki błąd może być wykorzystany. W ciągu kilku najbliższych dni Moore zamierza ujawnić więcej informacji.

Microsoft został poinformowany o luce i ją analizuje. Problem ujrzał światło dzienne po tym, jak w minioną środę (11 sierpnia) specjalizująca się w zabezpieczeniach firma ACROS opublikowała raport, w którym opisała bardzo podobny błąd w Apple iTunes dla Windows - błąd ten już usunięto w iTunes 9.2.1 cztery tygodnie temu.

W związku z brakiem łat i informacji o podatnych aplikacjach problem można rozwiązać jedynie poprzez zablokowanie połączeń protokołów SMB i WebDAV z Internetem.

wydanie internetowe www.heise-online.pl