En sårbarhet har upptäckts i Microsoft Windows-operativsystem som utnyttjar den standard dll laddar beteende.
Ett Microsoft-säkerhetsmeddelande förklarar att “frågan är orsakade av specifika osäkra program praxis att tillåta så kallade binära plantering eller DLL förspänning attacker”.
I enkla termer: Program som inte använder kvalificerad sökvägar till externa dynamisk länk bibliotek använder Windows standardinställningar för att hitta de dll-filer på systemet, och en av de första platser går det att söka på program-katalogen, vilket kan vara en lokal eller fjärr-katalogen.
Utnyttja dll-filer måste helt enkelt placeras i de kataloger som skall utföras av applikationer. De drabbade är många populära program, inklusive Firefox, VLC, Opera, Photoshop, uTorrent eller PowerPoint.
Microsoft publicerat ytterligare information om DLL förspänning avlägsen attack vektor i ett blogginlägg på Forskning om Säkerhet och Försvar blogg.
Bland den information som är en lösning som kräver inrättandet av Registret nycklar för att ändra biblioteket laddar beteende antingen på ett system på övergripande nivå, eller för specifika applikationer.
Du kan öppna Registereditorn på följande sätt:
- Tryck på Windows-knappen, skriv regedit i rutan öppna och tryck på retur.
- Bekräfta UAC-prompten.
- Navigera till följande sökväg: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Kontroll/Session Manager/CWDIllegalInDllSearch
- Eller den här vägen, om du vill konfigurera applikationsspecifika beteende: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/binaryname.exe/CWDIllegalInDllSearch
För att skapa CWDIllegalInDllSearch-tangenten, högerklicka på Session Manager och välj Nytt > Dword (32-bitars Värde) om du vill förbättra skyddet på ett system-nivå, eller höger-klicka på “Image File Execution Options, välj Nytt > Nyckel, det namn som filnamnet på det program som du vill förhärdar sig mot attacken, och högerklicka sedan på den nya nyckeln och välj Nytt > Dword (32-bitars Värde) samt för att skapa CWDIllegalInDllSearch.
Både nycklar stöd för följande värden, som har olika effekter beroende på var i programmet:
Scenario 1: programmet startas från en lokal mapp, till exempel C:Program Filer
0xffffffff tar Bort den aktuella arbetskatalogen från standard DLL söka för.
0 Använder standardsökväg för DLL. Detta är Windows standard, och den minst säkra inställningen.
1 Blockerar en DLL-belastning från den aktuella arbetskatalogen om den aktuella arbetskatalogen är satt till en WebDAV-mapp.
2 Blockerar en DLL-belastning från den aktuella arbetskatalogen om den aktuella arbetskatalogen är satt till en fjärrmapp.Scenario 2: programmet startas från en annan mapp, till exempel \remoteaktie
0xffffffff tar Bort den aktuella arbetskatalogen från standard DLL söka för.
0 Använder standardsökväg för DLL. Detta är Windows standard, och den minst säkra inställningen.
1 Blockerar en DLL-belastning från den aktuella arbetskatalogen om den aktuella arbetskatalogen är satt till en WebDAV-mapp.
2 Gör att DLL-belastning från den aktuella arbetskatalogen om den aktuella arbetskatalogen är satt till en fjärrmapp. DLL som laddas från en WebDAV-resurs blockeras om den aktuella arbetskatalogen är satt till en WebDAV-resurs.Scenario 3: programmet startas från en WebDAV-mapp, till exempel http://remote/share
0xffffffff tar Bort den aktuella arbetskatalogen från standard DLL söka för.
0 Använder standardsökväg för DLL. Detta är Windows standard, och den minst säkra inställningen.
Den föreslagna värde är 0xffffffff som det skyddar systemet mot dessa typer av dll-sida laddar attacker. Observera att du kan stöta på kompatibilitetsproblem när du gör förändringar på ett system-nivå.
Du kan använda den applikationsspecifika inställning i det här fallet för att ändra det förvalda värdet.