Eine Verwundbarkeit wurde kürzlich entdeckt in Microsoft Windows-Betriebssysteme, nutzt die Standard-dll-laden Verhalten.
Ein Microsoft Security Advisory erläutert, dass das “Problem verursacht durch spezifische, unsichere Programmierung Praktiken, die es ermöglichen, sogenannte binary planting oder DLL preloading” – Attacken.
In einfachen Worten: Anwendungen, die nicht qualifizierte Pfade für die externen dynamischen link-Bibliotheken verwenden die Windows Standard-Einstellungen zu finden, die dlls auf dem system, und einer der ersten Standorte gesucht werden, ist das Programm-Verzeichnis, das kann eine lokale oder remote-Verzeichnis.
Der exploit dlls einfach platziert werden in diesen Verzeichnissen ausgeführt werden, die von Anwendungen. Betroffen sind viele beliebte Programme, darunter Firefox, VLC, Opera, Photoshop, uTorrent oder PowerPoint.
Microsoft veröffentlicht weitere Informationen über die DLL laden von remote-Angriffen in einem blog-post auf der Security Research and Defense blog.
Zu den Informationen umgehen, erfordert die Erstellung der Registry-Schlüssel zu ändern, die Bibliothek Verhalten beim laden entweder auf system-Ebene oder für spezifische Anwendungen.
Sie können öffnen Sie den Registrierungs-Editor in der folgenden Weise:
- Tippen Sie auf die Windows-Taste, geben Sie regedit ein und drücken Sie die EINGABETASTE.
- Bestätigen Sie die UAC-Eingabeaufforderung.
- Navigieren Sie zu folgendem Pfad: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/CWDIllegalInDllSearch
- Oder diesen Pfad, wenn Sie möchten, konfigurieren anwendungsspezifischer Verhalten: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/binaryname.exe/CWDIllegalInDllSearch
Zum erstellen der CWDIllegalInDllSearch-Taste, mit der rechten Maustaste auf Sitzungs-Manager, und wählen Sie Neu > Dword-Wert (32-bit-Wert), wenn Sie wollen verbessern Sie den Schutz auf system-Ebene, oder mit der rechten Maustaste auf “Image File Execution Options, wählen Sie” Neu ” > ” Schlüssel, nennen Sie es, wie der name der Datei der Anwendung, die Sie möchten, Härten Sie sich gegen den Angriff, und dann mit der rechten Maustaste auf den neu erstellten Schlüssel und wählen Sie Neu > Dword-Wert (32-bit-Wert) sowie zum erstellen CWDIllegalInDllSearch.
Beide Tasten unterstützen die folgenden Werte, die unterschiedliche Auswirkungen je nach Ort der Anwendung:
Szenario 1: Die Anwendung wird gestartet von einem lokalen Ordner aus, wie C:Program Dateien
0xffffffff Entfernt das aktuelle Arbeitsverzeichnis aus der Standard-DLL-Suchreihenfolge.
0 Verwendet den Standardwert DLL-Suchpfad. Dies ist der Windows-Standard, und die am wenigsten sichere Einstellung.
1 Blocks ein laden DLL aus dem aktuellen Arbeitsverzeichnis, wenn das aktuelle Arbeitsverzeichnis auf einen WebDAV-Ordner.
2 Blocks ein laden DLL aus dem aktuellen Arbeitsverzeichnis, wenn das aktuelle Arbeitsverzeichnis auf einen Remoteordner.Szenario 2: Die Anwendung gestartet wird, von einem remote-Ordner, wie \remoteshare
0xffffffff Entfernt das aktuelle Arbeitsverzeichnis aus der Standard-DLL-Suchreihenfolge.
0 Verwendet den Standardwert DLL-Suchpfad. Dies ist der Windows-Standard, und die am wenigsten sichere Einstellung.
1 Blocks ein laden DLL aus dem aktuellen Arbeitsverzeichnis, wenn das aktuelle Arbeitsverzeichnis auf einen WebDAV-Ordner.
2 Ermöglicht das laden DLL aus dem aktuellen Arbeitsverzeichnis, wenn das aktuelle Arbeitsverzeichnis auf einen Remoteordner. DLL ‘ s geladen sind, aus einer WebDAV-Freigabe werden blockiert, wenn das aktuelle Arbeitsverzeichnis auf einen WebDAV-Freigabe.Szenario 3: Die Anwendung wird gestartet, von einem WebDAV-Ordner, wie http://remote/share
0xffffffff Entfernt das aktuelle Arbeitsverzeichnis aus der Standard-DLL-Suchreihenfolge.
0 Verwendet den Standardwert DLL-Suchpfad. Dies ist der Windows-Standard, und die am wenigsten sichere Einstellung.
Der vorgeschlagene Wert ist, 0xffffffff, wie es schützt das system gegen diese Art von dll-side-loading Angriffe. Bitte beachten Sie, dass Sie laufen kann, Kompatibilitätsprobleme auftreten, wenn Sie die änderung auf system-Ebene.
Sie können in der anwendungsspezifischen Einstellung in diesem Fall um den Standardwert zu ändern.