Az Internet Explorer 9 is sebezhető DLL-eltérítéssel
Egy szlovén biztonsági cég szerint a Windows 7-en védett módban futó Internet Explorer 9 is támadható az évek óta ismert, tavaly nyáron nagy vihart kavart DLL-eltérítéses módszerrel. A Microsoft vizsgálódik.
Tavaly nyáron nagy port kavart a Windowson futó egyes alkalmazások "DLL load hijacking" sérülékenysége, amelyekre látszólag továbbra sincs gyógyír. A szlovén Acros Security szerint a probléma továbbra is jelen van és a Windows XP, Vista és Windows 7 egyaránt távolról sebezhető, akár védett módban futó Internet Explorer 8 vagy Internet Explorer 9 böngészőn keresztül is. A vállalat két hét múlva, az amszterdami Hack in the Box konferencián mutatja be, hogyan.
A "DLL load hijacking" egy régóta ismert támadás, amely a programozók lustaságára épít. Ha a fejlesztők nem tartják be a Egyes szoftverek a DLL-ek betöltésekor nem a teljes elérési útvonallal hivatkoznak az állományra, hanem csak fájlnévvel, ami lehetővé teszi támadók számára, hogy egy előre preparált DLL-t töltessenek be a programmal és saját kódot hajtsanak végre. A sikeres támadáshoz a felhasználónak egy távoli fájlrendszerről vagy WebDAV megosztásról, esetleg egy pendrive-ról meg kell nyitnia egy állományt, és ha a fájlhoz társított program sérülékeny, az azonos könyvtárban elhelyezett DLL-t is meg fogja nyitni, amelyben a támadó kódja van.
Promptolsz-e már padawan? Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.
A hiba nem a Windowsban található, az operációs rendszer frissítésével nem javítható ki. A Microsoft tavaly nyár óta számos alkalmazásában befoltozta a sebezhetőséget, de úgy tűnik, nem végeztek alapos munkát Redmondban, mert az Acros szerint továbbra is vannak sebezhető Microsoft-szoftverek. A szoftvergyártó óriás megerősítette a sérülékenység létezését és vizsgálatot indított. "A Microsoft továbbra is vizsgálja a DLL-betöltéssel kapcsolatos problémákat" - nyilatkozta az amerikai Computerworldnek Pete Voss, a redmondiak biztonsági csapatának szóvivője. "Ilyenformán a vállalat feltárja a DLL-ekkel kapcsolatos lehetséges sérülékenységekről szóló híreket és amint ezzel végeztünk, megtesszük a szükséges lépéseket az ügyfelek védelme érdekében."
Mitja Kolsek, az Acros műszaki vezetője a Hack in the Box weboldalán, az előadásáról szóló összefoglalóban kifejtette, a vállalat egy speciális segédprogramot hozott létre annak megállapítására, mely alkalmazások sebezhetők ezzel a módszerrel. Kétszáz elterjedt, Windowson futó program vizsgálata után kiderült, szinte mindegyik sérülékeny. A Hack in the Box rendezvényen az Acros egy olyan DLL-eltérítéses támadást mutat be, amelyhez beágyazott COM-kontrollokat használ. Kolsek azt állítja, a módszer működik az összes ma használt Windowson (XP, Vista, 7), kivitelezhető Word 2010 vagy PowerPoint 2010 segítségével, de akár a néhány hete megjelent, védett módban futtatott Internet Explorer 9-cel is.
A Microsoft korábbban közzétett egy segédprogramot, amely tiltja a DLL-ek betöltését távoli hálózatról vagy WebDAV megosztásokról. Lehetséges megoldás még a WebDAV-kliens teljes kikapcsolása, valamint a 139-es és 445-ös TCP portok tiltása a tűzfalon.