image

DLL beschermt systeem tegen lekke software

maandag 5 oktober 2009, 11:15 door Redactie, 6 reacties

De Belgische beveiligingsexpert Didier Stevens kwam vorige week al met een oplossing om met verminderde rechten toch programma's als Adobe Reader te kunnen gebruiken, maar er is ook een andere manier die voorkomt dat lekke software andere programma's kan aanroepen of uitvoeren. "Een zeer effectieve manier om te voorkomen dat kwaadaardige documenten PC's infecteren, is door te voorkomen dat de kwetsbare applicatie een andere applicatie kan starten." Bijna alle shellcode in dit soort documenten roept uiteindelijk een ander proces aan om het Trojaanse paard uit te voeren. Het blokkeren van dit proces voorkomt de installatie van de Trojan.

Volgens Stevens is het een oud idee dat in veel sandboxes en Host-based Intrusion prevention systemen wordt aangetroffen. Om te voorkomen dat kwetsbare applicaties een nieuw proces kunnen starten, heeft de Belg een nieuw DLL bestand aan zijn "basic process manipulation toolkit" toegevoegd. Hoewel dit een eenvoudige manier is om het systeem tegen lekke software te beschermen, heeft het ook nadelen. In het geval van Adobe Reader werkt bijvoorbeeld de "zoek naar updates" functie niet meer. Toch kan de oplossing interessant voor systeembeheerders zijn. De nieuwe versie van de toolkit is binnenkort te downloaden.

Reacties (6)
05-10-2009, 11:54 door Anoniem
Dat doet me denken aan unix en het goede oude dos-tijdperk.
De software wordt in een folder geinstallerd, en gebruikt alleen maar bestanden in die folder.
Niets daar buiten. Dus ook geen gedeelde dll-bestanden of systeembestanden.
Dan is de software ook meteen portable en stand-alone. ;->

/rant/
En als we dan ook meteen de opslag van documenten, audio-, en video-bestanden beter kunnen regelen, dan via de "documents en settings" folder bij MS, dan zijn we van dat probleem ook af. Software en data-bestanden horen niet in dezelfde partitie opgeslagen te worden. Dat zou zelfs MS en de PC-leveranciers moeten weten.
/end rant/
05-10-2009, 12:07 door Thasaidon
Klinkt goed, en dat die Adobe update dan niet werk... ach... who cares. Ik gebruik de Adobe reader toch al niet :-)
Iemand al ervaring met de reeds bestaande toolkit van deze heer Stevens?
05-10-2009, 12:25 door RobertoG
Door Thasaidon: Klinkt goed, en dat die Adobe update dan niet werk... ach... who cares.
Als je technisch genoeg bent om de toolkit te installeren, ben je ook technisch genoeg om Secunia PSI te installeren. Dan blijf je ook geinformeerd.
05-10-2009, 15:30 door sjonniev
Ach ja, het aloude Application Specific Access Rights (ASAR) van SafeGuard Advanced Security...
De Sandbox van SafeGuard Personal Firewall...

Allemaal dingen waar men nu pas achterkomt dat ze wel eens nodig zouden zijn...
05-10-2009, 19:07 door Thasaidon
Door sjonniev: Ach ja, het aloude Application Specific Access Rights (ASAR) van SafeGuard Advanced Security...
De Sandbox van SafeGuard Personal Firewall...

Allemaal dingen waar men nu pas achterkomt dat ze wel eens nodig zouden zijn...
Ik draai bijna alle applicaties welke toegang hebben tot internet in een sandbox
Maar aangezien ze tegenwoordig ook uit zo'n sandbox (of vmware) kunnen breken is ieder extra middel om je security te waarborgen geen overbodige luxe.
06-10-2009, 09:56 door Didier Stevens
Door Thasaidon:
Maar aangezien ze tegenwoordig ook uit zo'n sandbox (of vmware) kunnen breken is ieder extra middel om je security te waarborgen geen overbodige luxe.

Shellcode is nog niet zo ingewikkeld dat het uit een sandbox kan breken. Sommige trojans (gedownloaded door de shellcode) kunnen dit wel, maar als je sandbox het opstarten van de trojan door de shellcode kan vermijden, dan zit je veilid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.