Una vulnerabilità è stata scoperta di recente in sistemi operativi Microsoft Windows, che sfrutta il default di caricamento delle dll del comportamento.
Un avviso di Sicurezza Microsoft spiega che “il problema è causato da specifiche insicuro pratiche di programmazione che consentono il cosiddetto binario di impianto o DLL precaricamento attacchi”.
In termini semplici: le Applicazioni che non utilizzano qualificati percorsi per esterni librerie a collegamento dinamico utilizzare impostazioni predefinite di Windows per trovare quelle dll nel sistema, e uno dei primi luoghi da cercare è la directory del programma, che può essere una directory locale o remota.
L’exploit dll semplicemente essere inseriti in quelle directory che devono essere eseguite dalle applicazioni. Colpite sono molti programmi popolari, tra cui Firefox, VLC, Opera, Photoshop, uTorrent o PowerPoint.
Microsoft ha pubblicato ulteriori informazioni su la DLL di precarico remoto vettore di attacco in un post sul blog per la Ricerca in materia di Sicurezza e di Difesa blog.
Tra le informazioni che è una soluzione che richiede la creazione di chiavi del Registro di sistema per modificare la libreria di caricamento comportamento di un sistema più ampio livello, o per applicazioni specifiche.
È possibile aprire l’Editor del Registro di sistema nel seguente modo:
- Toccare il tasto di Windows, digitare regedit e premere invio.
- Confermare il messaggio UAC.
- Passare alla seguente percorso: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Gestore di Sessione/CWDIllegalInDllSearch
- O questo percorso, se si desidera configurare un comportamento specifico: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Image File Execution Options/binaryname.exe/CWDIllegalInDllSearch
Per creare il CWDIllegalInDllSearch chiave, fare clic su Gestore di Sessione e selezionare Nuovo > valore Dword (32-bit) se si desidera migliorare la protezione a livello di sistema, oppure fare clic destro su “Image File Execution Options, selezionare Nuovo > Chiave, il nome come il nome del file dell’applicazione che si desidera indurirsi contro l’attacco, e quindi fare clic destro sulla chiave appena creata e selezionare Nuovo > valore Dword (32-bit) e per creare CWDIllegalInDllSearch.
Entrambe le chiavi di supporto i seguenti valori, che hanno effetti diversi a seconda della posizione dell’applicazione:
Scenario 1: L’applicazione viene avviata da una cartella locale, come C:Program File
0xffffffff Rimuove la directory di lavoro corrente predefinito DLL ordine di ricerca.
0 Utilizza la DLL di default percorso di ricerca. Questa è l’impostazione predefinita di Windows, e l’impostazione meno sicura.
1 Blocchi il caricamento di una DLL dalla cartella di lavoro corrente, se la directory di lavoro corrente è impostato su una cartella WebDAV.
2 Blocchi il caricamento di una DLL dalla cartella di lavoro corrente, se la directory di lavoro corrente è impostata su una cartella remota.Scenario 2: L’applicazione viene avviata da una cartella remota, ad esempio \remotocondivisione
0xffffffff Rimuove la directory di lavoro corrente predefinito DLL ordine di ricerca.
0 Utilizza la DLL di default percorso di ricerca. Questa è l’impostazione predefinita di Windows, e l’impostazione meno sicura.
1 Blocchi il caricamento di una DLL dalla cartella di lavoro corrente, se la directory di lavoro corrente è impostato su una cartella WebDAV.
2 Consente di caricare una DLL dalla cartella di lavoro corrente, se la directory di lavoro corrente è impostata su una cartella remota. Le DLL che vengono caricati da una condivisione WebDAV sono bloccati se la directory di lavoro corrente è impostato su una condivisione WebDAV.Scenario 3: L’applicazione viene avviata da una cartella WebDAV, come http://remote/share
0xffffffff Rimuove la directory di lavoro corrente predefinito DLL ordine di ricerca.
0 Utilizza la DLL di default percorso di ricerca. Questa è l’impostazione predefinita di Windows, e l’impostazione meno sicura.
Il valore suggerito è 0xffffffff come protegge il sistema contro questi tipi di dll a caricamento laterale attacchi. Si prega di notare che si può incorrere in problemi di compatibilità quando si apportano le modifiche a livello di sistema.
È possibile utilizzare l’applicazione impostazione specifica, in questo caso, per modificare il valore predefinito.