En sårbarhed blev for nylig opdaget i Microsoft Windows-operativsystemer, der udnytter standard dll-indlæsning adfærd.
Microsoft Security Advisory forklarer, at “problemet er forårsaget af specifikke usikre programmering praksis, der tillader de såkaldte binære plantning eller DLL forspændt angreb”.
I enkle vendinger: Programmer, der ikke bruger kvalificeret stier for eksterne dynamisk link biblioteker bruge Windows standard indstillingerne til at finde de dll-filer på systemet, og et af de første steder der skal søges i, er den program-mappen, som kan være en lokal eller remote directory.
Udnyttelse af dll ‘ er simpelthen nødt til at være placeret i de mapper, der skal udføres af applikationer. Ramt, er mange af de populære programmer, herunder Firefox, VLC, Opera, Photoshop, uTorrent eller PowerPoint.
Microsoft har udgivet yderligere oplysninger om DLL forhåndsindlæsning af eksterne angreb i et blog-indlæg om Forskning i Sikkerhed og Forsvar blog.
Blandt de oplysninger, der er en løsning, der kræver oprettelse af nøgler i Registreringsdatabasen for at ændre bibliotek ilægning af adfærd enten på et system plan, eller for specifikke applikationer.
Du kan åbne registreringseditor på følgende måde:
- Tryk på Windows-tasten, kør, skriv regedit, og tryk på enter.
- Bekræfte UAC-prompten.
- Naviger til følgende sti: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/CWDIllegalInDllSearch
- Eller denne vej, hvis du ønsker at konfigurere program-specifikke adfærd: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/binaryname.exe/CWDIllegalInDllSearch
For at oprette CWDIllegalInDllSearch-nøgle, højre-klik på Session Manager og vælg New > Dword (32-bit Værdi), hvis du ønsker at forbedre den beskyttelse, på system-niveau, eller højre-klik på “Image File Execution Options, vælg Ny > Nøgle, det navn som filnavnet på det program, du ønsker at hærde sig mod angreb, og derefter højre-klik på den nye nøgle, og vælg New > Dword (32-bit Værdi), samt at skabe CWDIllegalInDllSearch.
Begge taster understøtter følgende værdier, som har forskellige effekter afhængigt af placeringen af ansøgningen:
Scenarie 1: programmet er startet fra en lokal mappe, som C:Program Filer
0xffffffff Fjerner den aktuelle arbejdsmappe fra standard DLL søg for.
0 Bruger standard-DLL søgesti. Dette er standardvisningen i Windows, og den mindst sikre indstilling.
1 Blokerer en DLL-indlæsning fra den aktuelle arbejdsmappe, hvis den aktuelle arbejdsmappe er angivet til at være en WebDAV-mappe.
2 Blokke en DLL-indlæsning fra den aktuelle arbejdsmappe, hvis den aktuelle arbejdsmappe er angivet til en ekstern mappe.Scenarie 2: programmet er startet fra en ekstern mappe, f.eks. \remoteshare
0xffffffff Fjerner den aktuelle arbejdsmappe fra standard DLL søg for.
0 Bruger standard-DLL søgesti. Dette er standardvisningen i Windows, og den mindst sikre indstilling.
1 Blokerer en DLL-indlæsning fra den aktuelle arbejdsmappe, hvis den aktuelle arbejdsmappe er angivet til at være en WebDAV-mappe.
2 Giver mulighed for DLL-indlæsning fra den aktuelle arbejdsmappe, hvis den aktuelle arbejdsmappe er angivet til en ekstern mappe. DLL ‘ er, der er indlæst fra et WebDAV-share er blokeret, hvis den aktuelle arbejdsmappe er angivet til en WebDAV-share.Scenarie 3: programmet er startet fra en WebDAV-mappe, som http://remote/share
0xffffffff Fjerner den aktuelle arbejdsmappe fra standard DLL søg for.
0 Bruger standard-DLL søgesti. Dette er standardvisningen i Windows, og den mindst sikre indstilling.
Den foreslåede værdi er 0xffffffff, da det beskytter systemet mod disse typer af dll-side-indlæsning angreb. Bemærk, at du kan løbe ind i problemer med kompatibilitet, når du gør det ændre på et system-plan.
Du kan bruge programmet-specifik indstilling i denne sag at ændre standardværdien.