Microsoft släpper ut verktyget för att blockera DLL-laddningshackningsattacker

Någon gång tillbaka var rapporter om ett säkerhetsproblem som drabbade ungefär 40 olika Windows-appar. Microsoft har snabbt svarat på sådana rapporter om eventuella nolldagsattacker mot sådana Windows-program genom att publicera en uppdatering eller ett verktyg för att blockera sådana exploater. Men Microsoft klargjorde också att felet inte finns i Windows.

Verktyg för att blockera DLL-laddningshackningsattacker

Microsoft har utfärdat ett säkerhetsrådgivande (2269637) med rubriken "Insecure Library Loading" kan tillåta exekvering av extern kod.

"Microsoft är medveten om att forskning har publicerats med en fjärrangreppsvektor för en klass av sårbarheter som påverkar hur applikationer laddar externa bibliotek. Problemet orsakas av specifika osäkra programmeringsmetoder som tillåter så kallad binär plantering eller DLL-preloading-attacker. Dessa metoder kan ge en angripare möjlighet att fjärransluta godtycklig kod i samband med användaren som kör det sårbara programmet när användaren öppnar en fil från en otillförlitlig plats. "

Microsoft har också släppt en uppdatering som blockerar laddningen av DLL: er från fjärrmappar, vilket förhindrar DLL-kapningar.

Denna uppdatering introducerar en ny registernyckel CWDIllegalInDllSearch som tillåter användare att styra DLL sökvägsalgoritmen. DLL-sökvägsalgoritmen används av LoadLibrary API och LoadLibraryEx API när DLLs laddas utan att ange en fullständigt kvalificerad sökväg.

När en applikation dynamiskt laddar en DLL utan att ange en fullständig sökväg försöker Windows lokalisera denna DLL genom att söka igenom en väldefinierad uppsättning kataloger. Dessa uppsättningar kataloger kallas DLL sökväg. Så snart Windows lokaliserar DLL i en katalog laddar Windows den DLL. Om Windows inte hittar DLL i någon av katalogerna i DLL-sökordningen, kommer Windows återställa ett fel på DLL-laddningsoperationen.