Microsoft ostrzega przed luką DLL w aplikacjach
W wydanym komunikacie Microsoft ostrzega przed powszechnym błędem programistycznym, za sprawą którego aplikacje wykonują szkodliwy kod zawarty w spreparowanych plikach DLL. Chodzi o sytuacje, w których użytkownik otwiera na przykład grafikę znajdującą się na dysku sieciowym.
Zainstalowana aplikacja ładująca zdalne zasoby w niektórych okolicznościach wczyta również biblioteki, w których może się znajdować szkodliwy kod. Będą one pochodziły z katalogu umieszczonego w sieci.
Po tym, jak specjalizująca się w sprawach bezpieczeństwa firma Acros zidentyfikowała nieprawidłowe zachowanie iTunes, działający w projekcie Metasploit programista HD Moore poinformował, że problem dotyczy też około 40 innych aplikacji. Zdaniem Thierry'ego Zollera między innymi Photoshop jest podatny na tego typu ataki. W iTunes problem został już naprawiony przez Apple. Na razie nie wiadomo, jakie jeszcze aplikacje mogą być zagrożone.
W ramach ochrony Microsoft zaleca aktualnie wyłączenie usługi WebDAV i blokowanie wychodzących połączeń SMB przy użyciu firewalla. Poza tym przygotowano specjalne narzędzie, które pozwala wpłynąć na proces wyszukiwawczy podczas ładowania bibliotek przez modyfikację odpowiednich wpisów Rejestru. Na łamach bloga specjaliści z działu bezpieczeństwa Microsoftu wyjaśniają znaczenie poszczególnych parametrów.
Opisany scenariusz ataku nie jest zupełnie nowy. Wszak eksperci z NSA już przed 12 laty ostrzegali w dokumencie "Windows NT Security Guidelines" przed atakami typu DLL Spoofing. Microsoft już od dość dawna tłumaczy programistom, jak powinno wyglądać prawidłowe ładowanie bibliotek. Jak się okazuje, wiele aplikacji napisano wbrew tym zaleceniom. Wydaje się wątpliwe, by kiedykolwiek powstała łata eliminująca problem. Microsoft wyjaśnia bowiem, że niemożliwe jest usunięcie go z systemu Windows, gdyż udokumentowane funkcje przestaną wówczas działać zgodnie z oczekiwaniami.
