Microsoft heeft een advisory uitgegeven waarin het waarschuwt voor een omvangrijk beveiligingslek in talloze Windows applicaties. De advisory is niet alleen op Microsoft software gericht, omdat de "DLL preloading" of "binary planting" aanvallen alle Windows software kunnen treffen. Hoewel de softwaregigant nog onderzoekt wel Microsoft producten precies kwetsbaar zijn, heeft het wel een 'defense-in-depth update' uitgebracht die klanten tegen misbruik van kwetsbare applicaties beschermt.
"Daarnaast gebruiken we onze sterke banden met onderzoekers en partners in de industrie om dit nieuwe soort beveiligingslek te verhelpen", zegt Christopher Budd van het Microsoft Security Response Center (MSRC)
UNIX
Budd merkt op dat de DLL preloading-aanvallen niet nieuw of uniek voor het Windows platform zijn. PATH-aanvallen, één van de eerste problemen waarmee UNIX mee te maken kreeg, lijken erg op dit probleem. De aanval richt zich op het misleiden van een applicatie om een kwaadaardige library te laden, terwijl het eigenlijk denkt een betrouwbare library te laden. De aanval werkt alleen als de applicatie de library bij naam aanroept en niet het volledige path gebruikt. Bij eerdere path en preloading-aanvallen moest een aanvaller een kwaadaardige library op het client systeem krijgen. Het nieuwe onderzoek beschrijft een manier om een kwaadaardige library in een gedeelde netwerkmap te plaatsen
In dit scenario maakt de aanvaller een bestand dat de kwetsbare applicatie zal openen en een kwaadaardige library die de kwetsbare applicatie zal gebruiken. Hij plaatst ze beide in de gedeelde netwerkmap waar de gebruiker toegang toe heeft en laat die het bestand openen. Op dat moment opent de applicaties de kwaadaardige library en wordt de code van de aanvaller op het systeem uitgevoerd.
Tool
"Omdat dit een nieuwe vector is, in plaats van een nieuw soort kwetsbaarheid, beschermen de best practices tegen dit soort lekken ook tegen deze nieuwe vector", aldus Budd. Hoewel leveranciers en ontwikkelaars hun applicaties zo moeten maken dat ze het volledige path gebruiken, heeft Microsoft een tool beschikbaar gesteld die het laden van libraries van gedeelde netwerkmappen voorkomt.
Deze posting is gelocked. Reageren is niet meer mogelijk.