Odkąd HD Moore opublikował szczegóły dotyczące ujawnionego w zeszłym tygodniu problemu DLL w Windows oraz przygotował specjalne narzędzie testowe, pojawia się coraz więcej doniesień o dotkniętych usterką aplikacjach i pisanych dla nich exploitach
Zagrożenie
Oprócz Firefoksa i Opery wśród podatnych na ataki programów są takie popularne aplikacje jak PowerPoint, Photoshop, Dreamweaver, VLC, µTorrent i Wireshark - każda w aktualnej wersji. Korzystają one z niechronionego wariantu ładowania bibliotek DLL, gdzie we wczesnej fazie kolejności wyszukiwania pojawia się bieżący katalog roboczy - może to być również napęd sieciowy.
Exploitowe pliki DLL mają prostą konstrukcję i oprócz szkodliwego kodu zawierają często jedynie puste funkcje. Wpisując w serwisie Exploit Database frazę wyszukiwania DLL Hijacking, otrzymujemy na bieżąco nowe exploity pisane specjalnie pod kątem znanych programów użytkowych. Działający w projekcie Metasploit programista HD Moore oferuje narzędzie DLLHijackAuditKit, które pozwala samodzielnie wyszukać wadliwe aplikacje. Rozwiązanie
Co prawda Microsoft opublikował wczoraj ostrzeżenie dotyczące problemu, ale na wydanie przezeń łaty raczej się nie zanosi. To raczej producenci aplikacji będą musieli poprawić własne produkty.
Ochrona
Wśród specjalistów od bezpieczeństwa IT toczy się dyskusja, czy w ogóle należy obarczać twórców aplikacji winą za zaistniały problem. Secunia uważa, że doprowadziły do niego złe nawyki programistyczne polegające na podawaniu niepełnych ścieżek, a co za tym idzie, pozostawianiu pracy systemowi Windows. Co ciekawe, nawet Geoffroy Couprie z projektu VLC wypowiada się w podobnym tonie, mimo że pierwsze testy wykazały również wadliwość odtwarzacza VLC.
Uzupełnienie
Sposób i kolejność wyszukiwania bibliotek określa w Windows opcja SafeDLLSearchMode. Jeśli jest włączona, katalog bieżący wędruje na koniec listy i problem występuje rzadziej; gdy zaś ją wyłączymy, Windows już w drugim etapie poszukiwania pliku biblioteki "odwiedza" bieżący katalog roboczy i ewentualnie ładuje DLL.
Aktualną listę zagrożonych aplikacji najłatwiej znaleźć w bazach zajmujących się bezpieczeństwem firm Secunia i VUPEN, wpisując w pasku wyszukiwania frazę "insecure library loading". Poza tym nowe exploity pojawiają się na bieżąco w serwisie www.exploit-db.com.
W ramach ochrony można sięgnąć po specjalne narzędzie Microsoftu, które analizuje nowo wprowadzane wpisy Rejestru. Szczegóły podają eksperci z działu bezpieczeństwa koncernu w blogu Technet.
wydanie internetowe www.heise-online.pl
