Startpagina » Veiligheid » Microsoft geeft het hulpprogramma vrij om DLL-aanvallen op ladingskapingen te blokkeren

    Microsoft geeft het hulpprogramma vrij om DLL-aanvallen op ladingskapingen te blokkeren

    Enige tijd geleden waren er berichten over een beveiligingsprobleem dat ongeveer 40 verschillende Windows-apps trof. Microsoft heeft snel gereageerd op dergelijke meldingen van potentiële zero-day-aanvallen op dergelijke Windows-programma's door een update of tool te publiceren om dergelijke exploits te blokkeren. Microsoft heeft echter ook verduidelijkt dat de fout niet in Windows zit.

    Tool om DLL-aanvallen op ladingskaping te blokkeren

    Microsoft heeft een Beveiligingsadvies (2269637) uitgegeven met de titel Onveilige bibliotheeklading kan externe code mogelijk maken.

    "Microsoft is zich ervan bewust dat er onderzoek is gepubliceerd waarin een externe aanvalsvector wordt beschreven voor een reeks kwetsbaarheden die van invloed is op hoe toepassingen externe bibliotheken laden. Dit probleem wordt veroorzaakt door specifieke onveilige programmeermethoden die zogenaamde "binary planting" of "drijvende voorbereidende aanvallen van DLL" toestaan. Door deze procedures kan een aanvaller op afstand willekeurige code uitvoeren in de context van de gebruiker die de kwetsbare toepassing uitvoert wanneer de gebruiker een bestand opent vanaf een niet-vertrouwde locatie. "

    Microsoft heeft ook een update uitgebracht die het laden van DLL's van externe mappen blokkeert, waardoor DLL-kapingen worden voorkomen.

    Deze update introduceert een nieuwe registersleutel CWDIllegalInDllSearch waarmee gebruikers het algoritme van het DLL-zoekpad kunnen beheren. Het algoritme van het DLL-zoekpad wordt gebruikt door de LoadLibrary-API en de LoadLibraryEx-API wanneer DLL's worden geladen zonder een volledig gekwalificeerd pad op te geven.

    Wanneer een toepassing dynamisch een DLL laadt zonder een volledig pad op te geven, probeert Windows deze DLL te lokaliseren door te zoeken in een goed gedefinieerde reeks mappen. Deze sets van mappen staan ​​bekend als DLL-zoekpad. Zodra Windows het DLL-bestand in een map lokaliseert, laadt Windows dat DLL-bestand. Als Windows de DLL niet in een map in de DLL-zoekvolgorde vindt, retourneert Windows de DLL-laadbewerking niet..

    Meer details & download links op KB2264107.