Une vulnérabilité a été découverte récemment dans les systèmes d’exploitation Microsoft Windows, qui exploite la valeur par défaut de chargement des dll comportement.
Un avis de Sécurité Microsoft explique que “le problème est causé par l’insécurité des pratiques de programmation qui permettent soi-disant binaire de plantation ou de préchargement de DLL attaques”.
En termes simples: les Applications qui n’utilisent pas qualifié chemins externes pour les bibliothèques de liens dynamiques utiliser les paramètres par défaut de Windows pour trouver les dll sur le système, et l’un des premiers endroits à explorer est le répertoire du programme, qui peuvent être locales ou distantes répertoire.
L’exploit dll simplement être placés dans les répertoires d’être exécuté par les applications. Touché de nombreux programmes populaires, y compris Firefox, VLC, Opéra, Photoshop, uTorrent ou PowerPoint.
Microsoft a publié plus d’informations sur le préchargement de DLL vecteur d’attaque à distance dans un billet de blog sur la Recherche en matière de Sécurité et de Défense blog.
Parmi les informations est une solution de contournement qui nécessite la création de clés de Registre pour modifier la bibliothèque comportement de chargement sur un système, ou pour des applications spécifiques.
Vous pouvez ouvrir l’Éditeur de Registre de la façon suivante:
- Appuyez sur le Windows-clé, tapez regedit et appuyez sur entrée.
- Confirmer l’invite UAC.
- Naviguez jusqu’au chemin suivant: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/CWDIllegalInDllSearch
- Ou ce chemin, si vous voulez configurer l’application spécifique de comportement: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/binaryname.exe/CWDIllegalInDllSearch
Pour créer le CWDIllegalInDllSearch clé, cliquez sur Gestionnaire de Session et sélectionnez Nouveau > valeur Dword (32 bits Valeur) si vous voulez améliorer la protection sur l’échelle du système, ou cliquez-droit sur “Image File Execution Options, sélectionnez Nouveau > Clé, le nom, comme le nom de fichier de l’application que vous souhaitez renforcer la contre-attaque, puis cliquez-droit sur le nouveau clé, puis sélectionnez Nouveau > valeur Dword (32-bit de Valeur) ainsi que de créer CWDIllegalInDllSearch.
Les deux touches de soutenir les valeurs suivantes, qui ont des effets différents selon l’emplacement de l’application:
Scénario 1: L’application est démarrée à partir d’un dossier local, tels que C:Program Fichiers
0xffffffff Supprime le répertoire de travail courant à partir de la valeur par défaut DLL ordre de recherche.
0 Utilise la valeur par défaut DLL chemin de recherche. C’est la valeur par défaut de Windows, et le paramètre le moins sécurisé.
1 Blocs d’une DLL à charger à partir du répertoire de travail courant si le répertoire de travail actuel est fixé à un dossier WebDAV.
2 Pâtés de maisons d’une DLL à charger à partir du répertoire de travail courant si le répertoire de travail actuel est fixé à un dossier distant.Scénario 2: L’application est démarrée à partir d’un dossier distant, tel que \remotepartage
0xffffffff Supprime le répertoire de travail courant à partir de la valeur par défaut DLL ordre de recherche.
0 Utilise la valeur par défaut DLL chemin de recherche. C’est la valeur par défaut de Windows, et le paramètre le moins sécurisé.
1 Blocs d’une DLL à charger à partir du répertoire de travail courant si le répertoire de travail actuel est fixé à un dossier WebDAV.
2 Permet de chargement des DLL du répertoire de travail courant si le répertoire de travail actuel est fixé à un dossier distant. DLL qui est chargée à partir d’un partage WebDAV sont bloquées si le répertoire de travail actuel est fixé à un partage WebDAV.Scénario 3: L’application est démarrée à partir d’un dossier WebDAV, tels que http://remote/share
0xffffffff Supprime le répertoire de travail courant à partir de la valeur par défaut DLL ordre de recherche.
0 Utilise la valeur par défaut DLL chemin de recherche. C’est la valeur par défaut de Windows, et le paramètre le moins sécurisé.
La valeur proposée est 0xffffffff comme il protège le système contre ces types de dll chargement latéral attaques. Veuillez noter que vous risquez de rencontrer des problèmes de compatibilité lorsque vous effectuez le changement à l’échelle du système.
Vous pouvez utiliser l’application paramètre spécifique dans ce cas modifier la valeur par défaut.