Microsoft lansează un instrument pentru a bloca atacurile de deturnare a încărcărilor DLL

Uneori, au existat rapoarte despre o problemă de securitate care a afectat aproximativ 40 de aplicații Windows diferite. Microsoft a răspuns rapid la astfel de rapoarte de potențiale atacuri de zi zero împotriva unor astfel de programe Windows prin publicarea unei actualizări sau a unui instrument pentru a bloca astfel de exploatații. Cu toate acestea, Microsoft a clarificat, de asemenea, că defectul nu este în Windows.

Instrument pentru a bloca atacurile de deturnare a încărcărilor DLL

Microsoft a emis un aviz de securitate (2269637) intitulat "Încărcare nesolicitată în bibliotecă", care ar putea permite executarea codului la distanță.

"Microsoft este conștient de faptul că au fost publicate cercetări care detaliază un vector de atac la distanță pentru o clasă de vulnerabilități care afectează modul în care aplicațiile încarcă biblioteci externe. Această problemă este cauzată de anumite practici de programare nesigure, care permit așa-numitele "plantare binară" sau "atacuri de pre-încărcare DLL". Aceste practici ar putea permite unui atacator să execute de la distanță codul arbitrar în contextul în care utilizatorul rulează aplicația vulnerabilă atunci când utilizatorul deschide un fișier dintr-o locație nesigură. "

De asemenea, Microsoft a lansat o actualizare care va bloca încărcarea DLL-urilor din directoarele de la distanță, împiedicând astfel hijacking-ul DLL.

Această actualizare introduce o nouă cheie de registry CWDIllegalInDllSearch, care permite utilizatorilor să controleze algoritmul căii de căutare DLL. Algoritmul căii de căutare DLL este utilizat de API-ul LoadLibrary și de API-ul LoadLibraryEx când DLL-urile sunt încărcate fără a specifica o cale complet calificată.

Atunci când o aplicație încarcă dinamic un DLL fără a specifica o cale complet calificată, Windows încearcă să localizeze acest DLL prin căutarea printr-un set bine definit de directoare. Aceste seturi de directoare sunt cunoscute ca căi de căutare DLL. De îndată ce Windows localizează DLL-ul într-un director, Windows încarcă acel DLL. Dacă Windows nu găsește DLL-ul în niciunul din directoarele din ordinea de căutare DLL, Windows va întoarce o eroare la operația de încărcare DLL.