Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Az Internet Explorer 9 is sebezhető DLL-eltérítéssel

Bodnár Ádám, 2011. május 09. 11:15
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Egy szlovén biztonsági cég szerint a Windows 7-en védett módban futó Internet Explorer 9 is támadható az évek óta ismert, tavaly nyáron nagy vihart kavart DLL-eltérítéses módszerrel. A Microsoft vizsgálódik.

hirdetés

Tavaly nyáron nagy port kavart a Windowson futó egyes alkalmazások "DLL load hijacking" sérülékenysége, amelyekre látszólag továbbra sincs gyógyír. A szlovén Acros Security szerint a probléma továbbra is jelen van és a Windows XP, Vista és Windows 7 egyaránt távolról sebezhető, akár védett módban futó Internet Explorer 8 vagy Internet Explorer 9 böngészőn keresztül is. A vállalat két hét múlva, az amszterdami Hack in the Box konferencián mutatja be, hogyan.

A "DLL load hijacking" egy régóta ismert támadás, amely a programozók lustaságára épít. Ha a fejlesztők nem tartják be a Egyes szoftverek a DLL-ek betöltésekor nem a teljes elérési útvonallal hivatkoznak az állományra, hanem csak fájlnévvel, ami lehetővé teszi támadók számára, hogy egy előre preparált DLL-t töltessenek be a programmal és saját kódot hajtsanak végre. A sikeres támadáshoz a felhasználónak egy távoli fájlrendszerről vagy WebDAV megosztásról, esetleg egy pendrive-ról meg kell nyitnia egy állományt, és ha a fájlhoz társított program sérülékeny, az azonos könyvtárban elhelyezett DLL-t is meg fogja nyitni, amelyben a támadó kódja van.

A hiba nem a Windowsban található, az operációs rendszer frissítésével nem javítható ki. A Microsoft tavaly nyár óta számos alkalmazásában befoltozta a sebezhetőséget, de úgy tűnik, nem végeztek alapos munkát Redmondban, mert az Acros szerint továbbra is vannak sebezhető Microsoft-szoftverek. A szoftvergyártó óriás megerősítette a sérülékenység létezését és vizsgálatot indított. "A Microsoft továbbra is vizsgálja a DLL-betöltéssel kapcsolatos problémákat" - nyilatkozta az amerikai Computerworldnek Pete Voss, a redmondiak biztonsági csapatának szóvivője. "Ilyenformán a vállalat feltárja a DLL-ekkel kapcsolatos lehetséges sérülékenységekről szóló híreket és amint ezzel végeztünk, megtesszük a szükséges lépéseket az ügyfelek védelme érdekében."

Mitja Kolsek, az Acros műszaki vezetője a Hack in the Box weboldalán, az előadásáról szóló összefoglalóban kifejtette, a vállalat egy speciális segédprogramot hozott létre annak megállapítására, mely alkalmazások sebezhetők ezzel a módszerrel. Kétszáz elterjedt, Windowson futó program vizsgálata után kiderült, szinte mindegyik sérülékeny. A Hack in the Box rendezvényen az Acros egy olyan DLL-eltérítéses támadást mutat be, amelyhez beágyazott COM-kontrollokat használ. Kolsek azt állítja, a módszer működik az összes ma használt Windowson (XP, Vista, 7), kivitelezhető Word 2010 vagy PowerPoint 2010 segítségével, de akár a néhány hete megjelent, védett módban futtatott Internet Explorer 9-cel is.

A Microsoft korábbban közzétett egy segédprogramot, amely tiltja a DLL-ek betöltését távoli hálózatról vagy WebDAV megosztásokról. Lehetséges megoldás még a WebDAV-kliens teljes kikapcsolása, valamint a 139-es és 445-ös TCP portok tiltása a tűzfalon.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!