Een kwetsbaarheid werd onlangs ontdekt in Microsoft Windows-besturingssystemen die gebruik maakt van de standaard dll laden gedrag.
Een Microsoft Security Advisory legt uit dat het “probleem wordt veroorzaakt door specifieke onveilige programmering praktijken waarmee zogenaamde binary planting of DLL-preloading aanvallen”.
In eenvoudige termen: Applicaties die geen gebruik maken van gekwalificeerde paden voor externe dynamic link libraries gebruik van de standaard Windows-instellingen te vinden die dll-bestanden op het systeem, en één van de eerste locaties worden gezocht is de programma-map, die kan een lokale of remote directory.
De prestatie-dll-bestanden eenvoudig geplaatst worden in deze mappen worden uitgevoerd door toepassingen. Getroffen zijn veel populaire programma ‘ s, waaronder Firefox, VLC, Opera, Photoshop, uTorrent of PowerPoint.
Microsoft gepubliceerd extra informatie over de DLL-preloading externe aanval in een blog post op de Security Research and Defense blog.
Bij de informatie die is een oplossing dat vereist de creatie van de Registry-sleutels wijzigen van het laden van de bibliotheek gedrag, hetzij op systeem niveau, of voor specifieke toepassingen.
Je kunt open de Register-Editor op de volgende manier:
- Tik op de Windows-toets, typ regedit en druk op enter.
- Het bevestigen van de UAC-prompt.
- Ga naar het volgende pad: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/CWDIllegalInDllSearch
- Of dit pad, als u wilt configureren van applicatie-specifieke gedrag: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/binaryname.exe/CWDIllegalInDllSearch
Voor het maken van de CWDIllegalInDllSearch-toets ingedrukt, klik met de rechtermuisknop op Session Manager en selecteer Nieuw > Dword (32-bits Waarde) als u wilt dat het verbeteren van de beveiliging van een systeem-breed niveau, of klik met de rechtermuisknop op “Image File Execution Options, selecteer Nieuw > Sleutel, de naam zoals de naam van het bestand van de toepassing die u wilt om uit te harden tegen de aanval, en klik vervolgens met de rechtermuisknop op de zojuist gemaakte toets en selecteer Nieuw > Dword (32-bits Waarde) weer goed te maken CWDIllegalInDllSearch.
Beide toetsen ondersteunen de volgende waarden, die verschillende effecten hebben, afhankelijk van de locatie van de toepassing:
Scenario 1: De toepassing wordt gestart vanaf een lokale map, zoals C:Program Bestanden
0xffffffff Verwijdert de huidige werk-directory van de standaard DLL-zoekvolgorde.
0 maakt Gebruik van de standaard DLL-pad. Dit is de Windows-standaard, en de minst veilige omgeving.
1 Blokken laden van een DLL vanuit de huidige map als de huidige working directory is ingesteld met een WebDAV-map.
2 Blokken van een DLL laden van de huidige map als de huidige working directory is ingesteld met een externe map.Scenario 2: De toepassing wordt gestart vanaf een externe map, zoals \remoteshare
0xffffffff Verwijdert de huidige werk-directory van de standaard DLL-zoekvolgorde.
0 maakt Gebruik van de standaard DLL-pad. Dit is de Windows-standaard, en de minst veilige omgeving.
1 Blokken laden van een DLL vanuit de huidige map als de huidige working directory is ingesteld met een WebDAV-map.
2 Laat DLL laden van de huidige map als de huidige working directory is ingesteld met een externe map. DLL ‘ s die worden geladen vanuit een WebDAV-share worden geblokkeerd als de huidige working directory is ingesteld op een WebDAV-share.Scenario 3: De toepassing wordt gestart vanuit een WebDAV-map, zoals http://remote/share
0xffffffff Verwijdert de huidige werk-directory van de standaard DLL-zoekvolgorde.
0 maakt Gebruik van de standaard DLL-pad. Dit is de Windows-standaard, en de minst veilige omgeving.
De voorgestelde waarde 0xffffffff want het beschermt het systeem tegen deze types van dll-side-loading aanvallen. Houd er rekening mee dat u mogelijk problemen met de compatibiliteit wanneer u de wijziging op een systeem-breed niveau.
U kunt gebruik maken van de applicatie-specifieke instelling in dit geval om de standaardwaarde te wijzigen.