Некоторое время назад появились сообщения о проблеме безопасности, которая затрагивала около 40 различных приложений Windows. Microsoft быстро ответила на такие сообщения о потенциальных атаках с нулевым днем против таких программ Windows, опубликовав обновление или инструмент для блокировки таких эксплойтов. Однако Microsoft также пояснила, что недостаток не в Windows.
Инструмент для блокировки атаки на загрузку DLL
Корпорация Майкрософт выпустила Рекомендацию по безопасности (2269637) под названием «Небезопасная загрузка библиотеки».
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft также выпустила обновление, которое блокирует загрузку DLL из удаленных каталогов, тем самым предотвращая захват DLL.
В этом обновлении вводится новый раздел реестра CWDIllegalInDllSearch, который позволяет пользователям управлять алгоритмом пути поиска DLL. Алгоритм поиска DLL-файла используется API LoadLibrary и API LoadLibraryEx при загрузке DLL без указания полного пути.
Когда приложение динамически загружает DLL без указания полного пути, Windows пытается найти эту DLL, выполнив поиск в определенном наборе каталогов. Эти наборы каталогов известны как путь поиска DLL. Как только Windows находит DLL в каталоге, Windows загружает эту DLL. Если Windows не находит DLL в любом из каталогов в порядке поиска DLL, Windows вернет сбой при загрузке DLL.
Подробнее и скачать ссылки на KB2264107.
