Microsoft oslobađa alat za blokiranje napada DLL otmice opterećenja

Nekada su se javljala izvješća o sigurnosnom problemu koji utječu na oko 40 različitih aplikacija sustava Windows. Microsoft je brzo reagirao na takva izvješća o potencijalnim nul-danim napadima na takve Windows programe objavljivanjem ažuriranja ili alata za blokiranje takvih poteškoća. Međutim, Microsoft je pojasnio da taj nedostatak nije u sustavu Windows.

Alat za blokiranje napadi otpreme DLL-a

Microsoft je izdao sigurnosni savjetnik (2269637) pod nazivom "Neuravnotežena knjižna učitavanja mogu dopustiti daljinsko izvršavanje koda"

Microsoft je svjestan da je objavljeno istraživanje o detalju udaljenog napadačkog vektora za klasu ranjivosti koja utječe na to kako aplikacije učitavaju vanjske knjižnice. Ovo je uzrokovano specifičnim nesigurnim programskim praksama koje omogućuju tzv. "Binarnu sadnju" ili "DLL prednaprađivanje". Te prakse mogu omogućiti napadaču daljinski izvršavanje proizvoljnog koda u kontekstu korisnika koji pokreće ranjivu aplikaciju kada korisnik otvori datoteku s nepouzdane lokacije. "

Microsoft je objavio i ažuriranje koje će blokirati učitavanje DLL-ova iz udaljenim direktorijima, čime se onemogućava DLL Hijackings.

Ovo ažuriranje uvodi novi ključ registra CWDIllegalInDllSearch koji korisnicima omogućuje kontrolu algoritma pretraživanja DLL alata. Alat za traženje DLL-a upotrebljava LoadLibrary API i LoadLibraryEx API kada se DLL učita bez specificiranja potpuno kvalificiranog puta.

Kada aplikacija dinamički učita DLL bez određivanja potpuno kvalificiranog puta, Windows pokušava locirati DLL pretražujući kroz dobro definirani skup direktorija. Ti skupovi direktorija poznati su kao DLL traženi put. Čim Windows pronađe DLL u direktoriju, Windows učitava taj DLL. Ako sustav Windows ne pronađe DLL u bilo kojem direktoriju u redoslijedu pretraživanja DLL, Windows će vratiti neuspjeh u DLL operaciju učitavanja.

Više detalja i preuzimanje datoteka veza na KB2264107.