Microsoft se snaží blokovat exploity pomocí souborů DLL

26. 8. 2010

Sdílet

Závislost řady aplikací Windows na knihovnách DLL je údajně vážným bezpečnostním problémem. Ačkoliv záležitost není zatím zcela jasná, řada výzkumníků tvrdí, že se jim již proti těmto zranitelnostem podařilo vytvořit funkční exploity.

Viz také: Chyby aplikací Windows

Jádrem problému má být skutečnost, že řada programů volá soubory DLL pouze pomocí názvu knihovny a nespecifikuje cestu. Útočníci proto mohou podvrhnout svůj falešný soubor DLL a aplikace ho pak po zavolání spustí.

Microsoft jako reakci zveřejnil nástroj, který by měl známé způsoby zneužití blokovat. Firma však odmítla uvést, zda je tímto způsobem zranitelný i její vlastní software, nebo pouze aplikace třetích stran. Microsoft pouze tvrdí, že tuto otázku zkoumá. Firma uvádí, že problém není na její straně, ale na vině jsou vývojáři aplikací. Pokud by Microsoft provedl zásah na úrovni Windows, řadu aplikací by to znefunkčnilo. Zdá se, že tedy bude třeba zjišťovat zranitelné aplikace „po jedné“ a opravovat každou zvlášť, ať už to bude dělat Microsoft nebo příslušný dodavatel.

Nástroj Microsoftu prozatím blokuje načítání DLL souborů ze „vzdálených“ složek, tj. takových zdrojů, jako jsou webové stránky, USB nebo síťové disky. Tímto způsobem by se měly znemožnit nejčastější vektory útoku. Nástroj je třeba stáhnout ručně, Microsoft ho nebude distribuovat pomocí automatických aktualizací. Podrobnosti o nástroji viz web podpory Microsoftu.

Firemním uživatelům Microsoft doporučuje i další postupy, např. blokovat odchozí provoz SMB (Server Message Block) na úrovni firewallu.

Různí bezpečnostní analytici dotazovaní americkým Computerworldem se značně liší v odhadu závažnosti problému. Někteří uvádějí, že zranitelných je takto méně než 30 aplikací, jiní hovoří o více než 200.

bitcoin školení listopad 24

 

Poznámka: Pokud není specifikovaná cesta ale jen název souboru DLL, to aplikace při volání knihovny tedy prohledává celý souborový systém? To je únosné z hlediska rychlosti? Neprohledávaly by se ovšem jako první místní disky, tj. nenašla by se nejdřív legitimní verze DLL souboru? (A snad může aplikace hledat příslušný DLL soubor i na Internetu, když je tento vektor třeba též blokovat?)

Autor článku