Kādu laiku atpakaļ tika ziņots par drošības problēmu, kas ietekmēja apmēram 40 dažādas Windows lietotnes. Microsoft ir ātri reaģējusi uz šādiem ziņojumiem par iespējamiem nulles dienas uzbrukumiem šādām Windows programmām, publicējot atjauninājumu vai rīku, lai bloķētu šādus izmantojumus. Tomēr Microsoft arī paskaidroja, ka trūkums nav Windows.
DLL ielādes nolaupīšanas uzbrukumu bloķēšanas rīks
Microsoft ir izsniegusi drošības konsultāciju (2269637) nosaukumu, nedrošas bibliotēkas ielāde, kas ļauj veikt attālo kodu izpildi.
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft ir arī izlaidusi atjauninājumu, kas bloķē DLL ielādi no attālajiem direktorijiem, tādējādi novēršot DLL hijackings.
Šis atjauninājums ievieš jaunu reģistra atslēgu CWDIllegalInDllSearch, kas ļauj lietotājiem kontrolēt DLL meklēšanas ceļa algoritmu. DLL meklēšanas ceļa algoritmu izmanto LoadLibrary API un LoadLibraryEx API, kad tiek ielādēti DLL, nenorādot pilnībā kvalificētu ceļu.
Kad lietojumprogramma dinamiski ielādē DLL, nenorādot pilnībā kvalificētu ceļu, Windows mēģina atrast šo DLL, meklējot ar precīzi definētu direktoriju kopu. Šīs direktoriju kopas ir pazīstamas kā DLL meklēšanas ceļš. Tiklīdz Windows atrod direktorijā DLL, Windows ielādē šo DLL. Ja Windows neatrod DLL nevienā no DLL meklēšanas kārtībā esošajiem direktorijiem, Windows atgriezīs DLL slodzes darbības neveiksmi.
Sīkāka informācija & lejupielādes saites vietnē KB2264107.
